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Editorial 


Das ausgehende Jahr 2022 lieferte wenig Anlass zu Optimismus: Waren im Koaliti- 
onsvertrag der rot-grün-gelben Bundesregierung noch Signale zu erkennen, dass 
in Sachen Datenschutz nach langer schwarz-roter Agonie wenn nicht eine Zeiten-, 
so zumindest eine Trendwende stattfinden würde, so ist wieder Ernüchterung an- 
gesagt: Eine Innenministerin in Berlin betreibt das Ziel übermäßiger Vorratsda- 
tenspeicherung; eine Innenkommissarin in Brüssel macht sich stark für eine euro- 
paweite Chat-Kontrolle. Ob dem genügend Widerstand in Politik, Gesellschaft und 
Justiz entgegengesetzt wird, bleibt offen. 


Offen bleibt auch, ob das Versprechen des Koalitionsvertrags, endlich ein Beschäftig- 
tendatenschutzgesetz in Kraft zu setzen, eingehalten werden wird. Dass dies immer 
dringlicher wird, zeigt dieses Heft, das sich dieses Themas aus den unterschiedlichs- 
ten Perspektiven annimmt: Dargestellt werden die Geschichte und praktisch zu regu- 
lierende Streitfragen (Schuler/Weichert), konkrete Forderungen von Gewerkschafts- 
seite (Wedde) sowie eher vage bleibende Ansätze eines Beirats zum Beschäftigtenda- 
tenschutz. Unsicherheit besteht in praktischen Fragen angesichts der Verantwortlich- 
keit des Arbeitgebers für die Datenverarbeitung des Betriebsrats (Schury/Piper). Die 
Aufsichtsbehörden sind gefordert (Köppen). Ein besonderer Fall der Arbeitnehmerda- 
tenverarbeitung untermauert eine grundsätzliche Forderung, nämlich dass sich der 
Auskunftsanspruch der Betroffenen nicht allein auf die Art der über sie gespeicherten 
Daten beziehen darf, sondern auch die Algorithmen umfassen muss, die diese Daten 
verarbeiten (Linz). Datenübermittlungen in die USA bleiben ein Dauerproblem (Wei- 
chert). Auch nach Beendigung der beruflichen Tätigkeit hört die Datenverarbeitung 
nicht auf (Alenfelder). 


Die vorliegende DANA wendet sich an die Politik und an die Praktiker:innen in Be- 
triebsräten und Betrieben, denen mit den Beiträgen nicht nur Fragen, sondern auch 
Orientierungshilfen mitgegeben werden. 


Der dicke Umfang des vorliegenden Heftes ist zwar nicht Ausdruck für die aktuelle 
Bedeutung des Datenschutzes in der aktuellen Politik - die auch mittelfristig vom 
Ukrainekrieg, der Klimakatastrophe und der Inflation bestimmt wird. Er ist aber 
wohl Ausdruck dafür, dass es in Sachen digitalen Grundrechtsschutzes an vielen 
Stellen in unserem Leben brennt. Die Meldungen aus Deutschland und der ganzen 
Welt sind hierfür Zeugnis. 


Einigen dieser brennenden Konflikte hat sich die Europäische Union (EU) angenom- 
men, wasin den nächsten beiden DANAs im Jahr 2023 vertieft dargestellt werden wird. 
Sollte die Leser:in inspiriert sein, sich zu Aspekten der Digitalstrategien der EUin un- 
serem Medium äußern zu wollen, so ist sie hiermit hierzu eingeladen das zu tun. 
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Karin Schuler/Thilo Weichert 


Beschäftigtendatenschutzgesetz - 
was ist und was sein sollte 


I. Ankündigungen 


Die Hoffnung stirbt zuletzt; manchmal 
ist sie aber schon fast tot. Im rot-grün- 
gelben Koalitionsvertrag von 2021 steht: 

Wir schaffen Regelungen zum Beschäf- 
tigtendatenschutz, um Rechtsklarheit für 
Arbeitgeber sowie Beschäftigte zu errei- 
chen und die Persönlichkeitsrechte effek- 
tiv zu schützen.' 

Wenig später nahm Arbeitsminister 
Hubertus Heil den Bericht des Beirats 
für ein Beschäftigtendatenschutzgesetz 
entgegen und erklärte: 

Der Abschlussbericht des Beirats zum 
Beschäftigtendatenschutz kommt genau 
zum richtigen Zeitpunkt. Die neue Koali- 
tion will in dieser Legislatur Regelungen 
zum Beschäftigtendatenschutz schaffen, 
um Rechtsklarheit für Arbeitgeber und 
Beschäftigte zu erreichen und die Persön- 
lichkeitsrechte der Beschäftigten effektiv 
zu schützen.? 

Am 31.08.2022 legte aber Digitalmi- 
nister Volker Wissing eine Digitalstra- 
tegie der Bundesregierung für die kom- 
mende Legislaturperiode vor. Hier hätte 
man eine Verortung des Vorhabens er- 
wartet. Allerdings kann man sich des 
Eindrucks nicht erwehren, dass statt 
klarer Bekenntnisse das Prinzip „Rumei- 
erei” verfolgt wird. In der Digitalstrate- 
gie heißt es unter anderem. 

Wir werden mit modernen Regelungen 
zum Beschäftigtendatenschutz grund- 
rechtswahrend und rechtssicher den Weg 
ebnen, um die Potenziale neuer Technologi- 
en für eine moderne Arbeitswelt zu nutzen. 


Und weiter: 


Wir wollen uns 2025 daran messen las- 
sen, ob: (...) sich die Regeln für den Be- 
schäftigtendatenschutz in der betriebli- 
chen Praxis bewährt haben und aus Sicht 
aller Beteiligten zu mehr Rechtssicherheit 
beitragen.’ 

Abstrakter geht es kaum noch. Von 
einem klaren Bekenntnis zum Beschäf- 


216 


tigtendatenschutzgesetz ist nichts zu 
erkennen. 

Wer hoffte, dass das, was in einem 
Koalitionsvertrag angekündigt wird, 
tatsächlich politisch gewollt sei und 
umgesetzt würde, der könnte ange- 
sichts solcher vagen Formulierungen 
ausgerechnet in einer Digitalstrategie 
ernüchtert sein.‘ Nicht mehr an der Ver- 
abschiedung eines Beschäftigtendaten- 
schutzgesetzes will sich die Regierung 
messen lassen, sondern nur noch daran, 
ob die bestehenden Gesetze zu mehr 
Rechtssicherheit beitragen. Fragt man 
Insider, ob an einem Beschäftigtenda- 
tenschutzgesetz ernsthaft gearbeitet 
wird, dann erhält man hinter vorgehal- 
tener Hand eine abschlägige Antwort. 

Offiziell erklärte das BMAS allerdings 
auf explizite Nachfrage noch im Septem- 
ber 2022: 

In Umsetzung des Koalitionsvertra- 
ges ist vorgesehen unter gemeinsamer 
Federführung von BMAS und BMI ein 
eigenständiges Beschäftigtendaten- 
schutzgesetz zu schaffen. In einem ers- 
ten Schritt werden dazu gemeinsame 
Eckpunkte erarbeitet. Die sich daran 
anschließende Ausarbeitung eines Re- 
ferentenentwurfs soll noch in der ersten 
Hälfte der Legislaturperiode erfolgen. 
Die Ergebnisse des Beirats zum Beschäf- 
tigtendatenschutz bilden eine wichtige 
Grundlage bei der inhaltlichen Gestal- 
tung der Regelungen und finden bei der 
Erarbeitung der Eckpunkte sowie des 
Referentenentwurfes entsprechend Be- 
rücksichtigung. Vertreterinnen und Ver- 
treter der Sozialpartner wurden bereits 
im Rahmen der Beiratsarbeit angehört. 
Bei der weiteren Ausarbeitung sowohl 
der Eckpunkte als auch des Referenten- 
entwurfs wird das BMAS sowohl die So- 
zialpartner als auch weitere relevante 
Stakeholder einbeziehen.’ 

Demnach wäre mit einem Entwurf bis 
spätestens Oktober 2023 zu rechnen. 
Die Hoffnung auf ein Beschäftigtenda- 
tenschutzgesetz soll also noch nicht 


ganz beerdigt werden. Allerdings sind 
die Vorzeichen wenig ermutigend. 


II. Der Beirat zum Beschäftigten- 
datenschutz 


Hubertus Heil, Bundesarbeitsminister 
auch in der 19. schwarz-rot-regierten 
Legislaturperiode, hatte am 20.06.2020 
einen „Beirat zum Beschäftigtendaten- 
schutz” eingesetzt, der die Grundlage 
für ein Gesetz legen sollte. Schwarz-Rot 
hatte sich damals im Koalitionsvertrag 
auferlegt zu prüfen, ob ein eigenstän- 
diges Gesetz zum Beschäftigtendaten- 
schutz, das die Persönlichkeitsrechte der 
Beschäftigten am Arbeitsplatz schützt 
und Rechtssicherheit für den Arbeitgeber 
schafft, sinnvoll und notwendig wäre. 
Um alle Aspekte zu berücksichtigen, 
wurde dieser Beirat tarifpartei- und dis- 
ziplinübergreifend besetzt, und zwar 
mit kompetenten Vertreterinnen und 
Vertretern von Arbeitgebern und Arbeit- 
nehmern, Wissenschaftlern, Praktikern, 
Datenschützern, Ethikern, Rechtsan- 
wälten, Juristen und Informatikern. Die 
Leitung des Beirats wurde in prominen- 
te Hände gelegt - in die der früheren 
Bundesjustizministerin und Arbeits- 
rechtlerin Herta Däubler-Gmelin.s 

Der Beirat führte - auch in der Coro- 
nazeit - eine Vielzahl von Beratungen 
und Anhörungen (u.a. mit Vertretern 
der Bundesvereinigung der Arbeitge- 
berverbände, des Deutschen Gewerk- 
schaftsbunds, der Datenschutzkonfe- 
renz, der Datenethikkommission, mit 
betrieblichen Datenschutzbeauftrag- 
ten, Betriebsräten und Unternehmens- 
vertretern) durch. Sein Ergebnis ließ 
auf sich warten. Zuletzt war vorgese- 
hen den Abschlussbericht noch in der 
19. Legislaturperiode im Sommer 2021 
abzuliefern. Daraus wurde nichts. Erst 
im Januar 2022, also schon in der 20. 
Legislaturperiode, wurde ein Kurzbe- 
richt veröffentlicht, der eine allgemeine 
Orientierung gibt, wohin es mit einem 
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Beschäftigtendatenschutzgesetz gehen 
könnte.’ Die Entwürfe für einen über 
100 Seiten umfangreichen Langbericht 
sahen nie das Licht der Öffentlichkeit. 
Der Grund: Die Arbeitgebervertreter 
verweigerten sich einer kontroversen 
Darstellung und verließen schließlich 
sang- und klanglos den Beirat. Rechts- 
anwalt Tim Wybitul, der regelmäßig Ar- 
beitgeber vertritt, erklärte: „Ich kann 
nichts unterschreiben, was ich nicht 
später vor Gericht und vor meinen Man- 
danten gut vertreten kann.” Angeblich 
habe es im Langbericht keine abwei- 
chenden Voten geben sollen. Dies kann 
nicht zutreffen. Selbst im Kurzbericht 
wird zwischen Beiratsmehrheit und 
-minderheit unterschieden. Dass sich 
die Arbeitgeberseite beschwerte, mit 
ihrer Meinung nicht hinreichend be- 
rücksichtigt zu werden, ist wenig über- 
zeugend. Es war nämlich ausgerechnet 
die Arbeitgeberseite gewesen, die beim 
Beiratsstart zunächst für einen Kon- 
sensbericht plädiert hatte.® 

Die Geschichte des Beirats zum Be- 
schäftigtendatenschutz ist eine weite- 
re traurige Episode einer never-ending 
Tragödie, die nun mit einem stillschwei- 
genden Verzicht aufdasin der 20. Legis- 
latur angekündigte Gesetz ihre Fortset- 
zung finden könnte. 


III. Das bisher unvollendete Gesetz 


Diese Tragödie hat eine ca. 50-jäh- 
rige Geschichte: 1971 sprach sich ein 
im Auftrag des Bundesministeriums 
des Innern erstelltes Expertengutach- 
ten zur Schaffung gesetzlicher Daten- 
schutz-Grundlagen für eine spezifische 
Regelung für Beschäftigte aus.’ Mit dem 
Volkszählungsurteil des Bundesver- 
fassungsgerichts (BVerfG) 1983 wurde 
diese Forderung nach einem bereichs- 
spezifischen Gesetz zusätzlich verfas- 
sungsrechtlich grundiert.'° In späteren 
Entscheidungen bekräftigte das BVerfG, 
dass es Aufgabe des Rechts sei zu ver- 
hindern, dass sich im Privatrecht, wozu 
das Arbeitsrecht gehört, „für einen 
Vertragsteil die Selbstbestimmung in 
Fremdbestimmung verkehrt”.'! Die der 
Aussage zugrundeliegende Beschrei- 
bung eines Machtgefälles zwischen 
Vertragsparteien gilt ohne Einschrän- 
kungen für das Verhältnis zwischen Ar- 
beitgeber und Arbeitnehmer. 
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Angesichts dieser verfassungsrecht- 
lichen Vorgaben war es konsequent, 
dass seit der Volkszählungsentschei- 
dung die Regierungsparteien in ihren 
Koalitionsabsprachen auf Bundesebene 
immer wieder ankündigten ein Beschäf- 
tigtendatenschutzgesetz”” zu schaf- 
fen. Alle Versuche, ein solches Gesetz 
zu verabschieden, scheiterten aber am 
politischen Widerstand der Arbeitgeber- 
seite."? Nur ein einziges Mal fand sich in 
einem Koalitionsvertrag keine Selbst- 
verpflichtung zur Erarbeitung eines sol- 
chen Gesetzes - in der 2005 beginnen- 
den 16. Legislaturperiode. Justin dieser 
Periode gab es in Deutschland derart 
viele Überwachungsskandale im Be- 
schäftigtenbereich, dass sich die CDU- 
SPD-Regierung 2009 noch kurz vor der 
nächsten Bundestagswahl genötigt sah 
mit dem damaligen &$ 32 Bundesdaten- 
schutzgesetz (BDSG) zumindest mini- 
male Schutzvorschriften ins Gesetz auf- 
zunehmen.'* Die damals ergänzte (und 
seitdem ob ihrer Interpretierbarkeit im- 
mer wieder kritisierte) Regelung wurde, 
leicht modifiziert, nach der Umsetzung 
der Datenschutz-Grundverordnung (DS- 
GVO) 2019 in den aktuell gültigen & 26 
BDSG überführt. 

Nicht nur auf nationaler, sondern 
auch auf europäischer Ebene blieben 
alle Versuche, den Persönlichkeits- 
schutz Beschäftigter zu verbessern, in 
ersten Ansätzen stecken. Eine von der 
EU-Kommission initiierte Konsultation 
zum Arbeitnehmerdatenschutzrecht in 
den Jahren 2001/2002 hatte keine wei- 
teren Initiativen zur Folge. Ein Grund 
hierfür war wohl, dass selbst auf natio- 
naler Ebene die EU-Mitgliedstaaten fast 
durchgängig keinen Regelungsbedarf 
oder - vielleicht wegen des Widerstands 
der Arbeitgeberseite - keine Einigungs- 
möglichkeit sahen. 

Mit der seit 2009 geltenden euro- 
päischen Grundrechte-Charta (GRCh) 
werden sowohl ein Grundrecht auf Da- 
tenschutz (Art. 8) als auch umfassende 
Arbeitnehmerrechte auf oberster Regu- 
lierungsebene garantiert.'° Zudem kön- 
nen weitere Grundrechte betroffen sein 
- sowohl der Beschäftigten" als auch 
der Unternehmen’. In der DSGVO wur- 
dein Art. 88 ein allgemeiner rechtlicher 
Rahmen für die nationalen Gesetzgeber 
sowie für kollektivrechtliche Normen 
vorgegeben. Die eigentliche Normset- 


zung soll durch die Mitgliedstaaten er- 
folgen.'® Der europäische Gesetzgeber 
will bisher keine die DSGVO präzisieren- 
de Regelung ausarbeiten. 

Die politischen Ansagen sowohl in 
der 19.'? als auch nun in der 20. Legis- 
laturperiode des Bundestags waren und 
sind eigentlich klar. Dem entsprechen 
Forderungen aus Gewerkschaften”, 
der arbeitsrechtlichen Praxis”, dem 
institutionellen Datenschutz”? und der 
Wissenschaft”. Die gesetzgeberische 
Zielsetzung ist ein umfassendes Gesetz 
zum Datenschutz für Beschäftigte. Kurz 
vor Ende der 19. Legislaturperiode ver- 
ständigten sich CDU und SPD - ohne 
großes öffentliches Aufsehen - auf ein 
Betriebsrätemodernisierungsgesetz.?* 
Darin wurden einige Datenschutzfragen 
geregelt, insbesondere die Mitbestim- 
mungspflicht beim Einsatz künstlicher 
Intelligenz (8 90 Abs. 1 Nr. 3 BetrVG) 
sowie die Klärung der unsäglichen 
Streitfrage zur Verantwortlichkeit des 
Betriebsrats für seine eigene Datenver- 
arbeitung (8 79a BetrVG).”° Eine umfas- 
sende Regelung des Beschäftigtenda- 
tenschutzes erfolgte nicht. 

Auch wenn die Begeisterung für ein 
umfassendes Gesetz in der Bundesre- 
gierung weiterhin wenig ausgeprägt 
scheint, könnte sich nun Druck auf eu- 
ropäischer Ebene aufbauen. Eine Vorla- 
ge des Verwaltungsgerichts (VG) Wies- 
baden beim Europäischen Gerichtshof 
(EuGH) stellt diesem die Frage, ob der 
deutsche Gesetzgeber mit 826 Abs.1S.1 
BDSG (bzw. mit dem inhaltlich iden- 
tischen 8 23 Abs. 1 S. 1 HDSIG) seiner 
Konkretisierungs- bzw. Spezifizierungs- 
pflicht nach Art. 88 DSGVO in Bezug auf 
den Beschäftigtendatenschutz nach- 
gekommen ist, indem er einfach die 
europäische Regelung wiederholte.?® 
In seinem Votum kommt der Generalan- 
walt beim EuGH zu dem Ergebnis, dass 
die deutschen Regelungen nicht mit 
EU-Recht vereinbar seien, da das Wie- 
derholungsverbot?’ verletzt würde und 
im nationalen Recht keine spezifische- 
ren Regelungen erlassen worden sei- 
en.?® Solche spezifischeren Regelungen 
müssten gemäß Art. 88 Abs. 2 DSGVO 
„geeignete und besondere Maßnahmen 
zur Wahrung der menschlichen Würde, 
der berechtigten Interessen und der 
Grundrechte der betroffenen Person” 
enthalten, was bei 8 26 Abs. 15. 1 BDSG 
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nicht zuträfe.”” Der EuGH folgt in der 
Regel dem Entscheidungsvorschlag des 
Generalanwalts. Wäre dies auch hier der 
Fall, dann wäre die Generalklausel des 
& 26 BDSG nicht mehr anwendbar”; die 
Gesetzgeber in Deutschland müssten 
wohl tätig werden. 

Derweil verstärkt sich das Machtge- 
fälle zwischen Arbeitgebern und de- 
ren Dienstleistern einerseits und den 
Beschäftigten und ihren Vertretungen 
andererseits durch immer komplexere 
Systeme und Verfahren, die zwecküber- 
greifend und oft unternehmensüber- 
greifend ausgeklügeltere intransparen- 
te Auswertungen über die Beschäftigten 
ermöglichen, ohne dass diesen adäqua- 
te Rechte zustehen.’ 


IV. Grundüberlegungen zum 
BeschDSG 


Die eingangs geäußerte Hoffnung 
ist also nicht nur noch lebendig, sie 
ist auch höchst notwendig. Und daher 
muss man sich mit den möglichen und 
notwendigen Inhalten eines Beschäf- 
tigtendatenschutzgesetzes (BeschDSG) 
befassen.” Dem sollen einige grund- 
sätzliche Erwägungen vorangestellt 
werden: 

Es ist klar, dass ein BeschDSG einen 
Ausgleich zwischen den Grundrech- 
ten der Arbeitgeber und denen der Be- 
schäftigten vornehmen muss. Beide 
Seiten sind - Ausnahme ist das öffent- 
liche Dienstecht - als „private“ Grund- 
rechtsträger und als Vertragspartner 
in ihrer Autonomie zu achten. Bei dem 
Ausgleich muss berücksichtigt werden, 
dass sich der Arbeitgeber strukturell in 
einer stärkeren Position befindet, da 
er durch die Verfügungsmacht über die 
Produktionsmittel sowie durch seine 
ökonomische, juristische, informati- 
onstechnische und soziale Potenz den 
Beschäftigten überlegen ist. Die Rech- 
te des Arbeitgebers werden gegenüber 
Beschäftigten durch ein umfassendes 
Direktionsrecht (8 106 Abs. 1 GewO) 
umgesetzt. Zum Schutz vor dem struk- 
turell überlegenen Vertragsteil hat ein 
BeschDSG individuelle Rechte für den 
Beschäftigten vorzusehen, wobei zwi- 
schen materiellen und prozessualen 
Rechten unterschieden werden kann. 
Ergänzend - auch durch das Grundge- 
setz abgesichert - stehen den Arbeit- 
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nehmern betriebsverfassungsrechtlich 
garantierte Kollektivrechte zu, die im 
BeschDSG in Bezug aufden Datenschutz 
konkretisiert werden könnten. 

Bisher ist der Beschäftigtendaten- 
schutz in Deutschland in 8 26 BDSG so- 
wie in spezifischen weiteren Gesetzen, 
etwa den Sozialgesetzbüchern (SGB), 
dem Arbeitssicherheitsgesetz (ASiG), 
dem Allgemeinen Gleichstellungsgesetz 
(AGG) und vielen weiteren - auch unter- 
gesetzlichen - Normen geregelt. Ange- 
sichts der bestehenden Komplexität ist 
es weder möglich noch wünschenswert 
diese Normen in ein BeschDSG zu inte- 
grieren, zumal sie dann aus ihren spe- 
zifischen Zusammenhängen herausge- 
rissen würden. Wohl aber ist es geboten 
die allgemeinen Regeln, also insbeson- 
dere die zu allgemein gehaltenen Inhal- 
te des $ 26, aus dem BDSG herauszulö- 
sen und ein eigenes Gesetz zu schaffen. 
Ein Aufblähen des BDSG wäre wenig 
anwendungsfreundlich. Wenn auf die 
DSGVO oder das BDSG verwiesen werden 
kann sind Regelungen im BeschDSG zu 
vermeiden. Sinnvoll können aber Rege- 
lungen sein, in denen die Vorgaben des 
allgemeinen Datenschutzrechts konkre- 
tisiert werden, etwa zu Datenschutz- 
Folgenabschätzungen bei der Verarbei- 
tung von Beschäftigtendaten (Art. 35 
DSGVO), zu Datenschutzbeauftragten 
(Art. 37, 38 DSGVO), zu Abwägungen 
als Rechtsgrundlage (Art. 6 Abs. 1 it. f 
DSGVO), zum Auskunftsrecht Beschäf- 
tigter (Art. 15 DSGVO), zu Betriebs- 
vereinbarungen als Rechtsgrundlage 
(Art. 88 DSGVO), zur Zertifizierung 
von Verfahren (Art. 42 DSGVO) oder zu 
Aufgaben der Aufsichtsbehörden (vgl. 
Art. 58 Abs. 6 DSGVO). 

Die kollektivrechtliche Seite des Be- 
schäftigtendatenschutzes hat bisher vor 
allem im Betriebsverfassungsgesetz ihre 
Grundlage, etwa das Mitbestimmungs- 
recht nach $ 87 Abs. 1 Nr. 6 BetrVG. 
Da eine Modernisierung des Beschäf- 
tigtendatenschutzes auch eine kollek- 
tivrechtliche Seite haben muss, ist es 
naheliegend parallel das BetrVG und 
evtl. das Tarifrecht zu ändern, etwa in- 
dem zusätzliche Mitbestimmungsrechte 
eingeführt oder über den Datenschutz 
hinaus Klagerechte eingeräumt werden. 
Rein datenschutzrechtliche Festlegun- 
gen sollten im BeschDSG normiert wer- 
den. Wichtig ist in jedem Fall, dass die 


Verknüpfung der beiden Rechtsmateri- 
en erkennbarist. 

Es ist im Arbeitsrecht noch weit ver- 
breitet das Datenschutzrecht als eine 
separate Materie anzusehen und zu 
behandeln. Dies resultiert beispiels- 
weise in der immer noch anzutreffen- 
den Ansicht, dass in Mitbestimmungs- 
prozessen keine Datenschutzfragen zu 
thematisieren seien. Entsprechende 
Herangehensweisen sind bzw. waren im 
Zivilrecht generell wie speziell im Ver- 
braucher- und im Wettbewerbsrecht zu 
verzeichnen.°® Sieignorieren, dass alle 
bestehenden Regelungen Bestandteil 
eines einheitlichen Normgefüges sind, 
bei dem eine künstlich abschottende 
Sichtweise zwangsläufig zu Inkonsis- 
tenzen und Rechtsverkürzungen füh- 
ren muss. 

Das Beschäftigtendatenschutzrecht 
wird bisher vorrangig durch die Recht- 
sprechung konturiert, der des Bundes- 
arbeitsgerichts (BAG) und der Arbeits- 
gerichte, zunehmend auch über Urteile 
des Europäischen Gerichtshofs (EuGH). 
Diese zurückblickende Konkretisierung 
des Datenschutzes über Einzelfälle er- 
höht nur bedingt die Rechtssicherheit 
bei den Beteiligten. Auch muss man 
konstatieren, dass es für bestimmte An- 
wendungsfälle, wie beispielsweise zur 
Videoüberwachung am Arbeitsplatz, 
eine jahrzehntelange, verfestigende 
Rechtsprechung gibt, für andere Fra- 
gestellungen jedoch keine, sehr wenige 
oder gar widersprüchliche Entschei- 
dungen. Insbesondere für kleine und 
mittlere Unternehmen sowie bei Unter- 
nehmen ohne Mitbestimmung bestehen 
für Arbeitgeber und Arbeitnehmer daher 
viele Unwägbarkeiten bei der Rechtsan- 
wendung. Absehbare technische, öko- 
nomische und soziale Entwicklungen 
können in Gerichtsurteilen - anders als 
durch Entscheidungen des Gesetzge- 
bers - nicht berücksichtigt werden. Ein 
BeschDSG muss dem Anspruch gerecht 
werden materiell sowie durch klar fest- 
gelegte Verfahren die Rechtssicherheit 
zu erhöhen. Es muss zugleich techno- 
logieoffen sein, um für absehbare Än- 
derungen anwendbar zu sein ohne sinn- 
vollen Fortschritt zu hindern. Bei der 
Festlegung der Regeln können bei der 
gerichtlichen Kasuistik mit ihren Ein- 
zelfallabwägungen Anleihen gemacht 
werden. 
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Es wird kontrovers diskutiert, was 
„spezifischere Vorschriften” i.S.v. Art.88 
Abs. 1 DSGVO sind, die über die Öff- 
nungsklausel sowie in Kollektivverein- 
barungen erlaubt sind. Unstreitig ist da- 
bei, dass die DSGVO einen Mindeststan- 
dard festlegt, der nicht unterschritten 
werden darf; die Grenzen der DSGVO sind 
einzuhalten. Die Diskussion, inwieweit 
darüber hinausgehende Abweichungen 
- insbesondere nach unten - zulässig 
sind, hat eher akademischen Charak- 
ter. Das Recht zur Spezifizierung eröff- 
net einen Ermessensspielraum, wobei 
bei der Konkretisierung die spezifischen 
Aspekte des Beschäftigungsverhältnis- 
ses ausschlaggebend sein müssen. Es 
besteht die Möglichkeit zusätzliche, 
strengere oder einschränkende, nati- 
onale Vorschriften vorzusehen.” Im 
Folgenden sollen einige wesentliche 
Regelungsaspekte eines BeschDSG dar- 
gestellt und erörtert werden. 


V. Wesentliche Regelungsaspekte 
a. Allgemeine Regelungen 


Bisher wird der Anwendungsbereich 
des Beschäftigtendatenschutzes durch 
& 26 Abs. 8 BDSG in Verbindung mit 
& 5 BetrVG festgelegt. Erfasst werden 
Arbeitnehmer einschließlich Leihar- 
beitnehmer’‘, Auszubildende, Rehabi- 
litanden, Beschäftigte in Behinderten- 
werkstätten, Personen, die Freiwilligen- 
dienste oder Zivildienst leisten, Beamte 
und Richter des Bundes, Soldaten und 
insbesondere auch die aufgrund ihrer 
wirtschaftlichen Unselbstständigkeit 
als arbeitnehmerähnlich einzuordnen- 
den Personen. Erfasst werden zudem 
Personen, die sich für ein Beschäfti- 
gungsverhältnis bewerben oder deren 
Beschäftigungsverhältnis beendet ist. 
Sinnvoll ist es die neue Kategorie der 
Crowdworker, also von Beschäftigten, 
die über das Internet Dienstleistungen 
für ein Unternehmen erbringen, als ar- 
beitnehmerähnliches Beschäftigungs- 
verhältnis zu präzisieren und von wirt- 
schaftlich nicht abhängigen Soloselbst- 
ständigen abzugrenzen.”’ 

Hinsichtlich der Wirksamkeit von Ein- 
willigungen im Arbeitskontext macht 
& 26 Abs. 2 BDSG mit seiner Vermu- 
tungsregelung zur Freiwilligkeit schon 
heute eine präzisierende Vorgabe. In- 
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sofern sind beispielhafte Ergänzungen 
möglich. 


b. Bewerbungssituation 


Mehr und mehr Unternehmen stützen 
zumindest Teile ihrer Datenverarbei- 
tung im Bewerbungsprozess auf die Ein- 
willigung der sich Bewerbenden. Dies 
gilt beispielsweise für nicht im stren- 
gen Sinne erforderliche Fragen, für das 
Durchführen von Persönlichkeitstest 
und Gesundheitsuntersuchungen und 
für den Einsatz von digitalen Auswahl- 
verfahren. Auch der Einsatz vermeintli- 
cher künstlicher Intelligenz (KT), etwa 
durch Sprach- oder Mimikanalyse, soll 
häufig auf Einwilligungen basieren.°® 
Ein aktuell von der EU-Kommission 
verfolgter Regelungsansatz sieht vor, 
dass besonders invasive Analyseverfah- 
ren nur eingeschränkt oder überhaupt 
nicht erlaubt sein sollen. Gemäß dem 
Kommissions-Vorschlag soll der Einsatz 
von Kl bei der Einstellung und Auswahl 
von Personen, für Entscheidungen über 
Beförderung und Kündigung sowie 
für die Zuweisung, Überwachung oder 
Bewertung von Personen in Arbeits- 
vertragsverhältnissen als hochriskant 
(Art. 6 ff. i.V.m. Anhang III Nr. 4 Ent- 
wurf KI-Verordnung) eingestuft werden 
(s.u. VIL.).” 

Der Bewerbungsprozess ist bisher 
gesetzlich nicht näher geregelt. Die 
arbeitsgerichtliche Rechtsprechung er- 
laubt dem Arbeitgeber Fragen zu stellen, 
an deren Beantwortung er ein „berech- 
tigtes, billigenswertes und schutzwür- 
diges Interesse“ hat.‘ Eine Datenerhe- 
bung im Rahmen der Bewerbung muss - 
im Hinblick auf die angestrebte Stelle 
- „erforderlich“ sein. Zudem gelten die 
europarechtlich determinierten, diskri- 
minierungsrechtlichen Regelungen des 
AGG (8 6 Abs. 15. 2 AGG). Es besteht ein 
„Recht auf Lüge”.*' Hinsichtlich einer 
Erhebung bei Dritten, etwa bei früheren 
Arbeitgebern oder im Internet (durch 
sog. Background-Checks)”, muss 
- nicht zuletzt zur Vermeidung von 
Falschbewertungen - die Einbeziehung 
der Betroffenen gewährleistet sein. Im 
Interesse der Rechtsklarheit sollte die 
bisherige Rechtsprechung gesetzlich 
fixiert werden, auch im Interesse einer 
Eindeutigkeit hinsichtlich der Rechts- 
folgen im Fall eines Verstoßes. Der Ab- 


gleich von Bewerbenden- und Beschäf- 
tigtendaten mit sog. Anti-Terror- oder 
Sanktionslisten bedarf in jedem Fall ei- 
ner ausdrücklichen, für die Betroffenen 
transparenten Rechtsgrundlage, so dass 
eine Rechtsschutzmöglichkeit eröffnet 
wird. Auch dies ist gesetzlich klarzu- 
stellen. 

Tests und Untersuchungen können als 
Einstellungsvoraussetzung erforderlich 
sein, um die körperliche und psychische 
Eignung für die konkret angestrebte 
Stelle festzustellen, etwa bei Tätigkei- 
ten mit Drittgefährdungsmöglichkeit.‘? 
Solche Tests sind aber nur akzeptabel, 
wenn sie - was gesetzlich vorzugeben 
ist - von qualifiziertem Personal gemäß 
einem (z.B. durch Zertifizierung) vali- 
dierten Verfahren durchgeführt werden. 
Hierzu gehört, dass - entsprechend der 
betriebsärztlichen Betreuung - nur die 
Ergebnisse der Tests und Untersuchun- 
gen, nicht aber die zumeist äußerst 
sensiblen erhobenen Daten dem Arbeit- 
geber bekannt werden.“ 

Es sollte ganz allgemein präzisiert 
werden, dass das durch die jeweili- 
ge Interessenslage gekennzeichnete 
Machtgefälle zwischen Bewerbenden 
und potenziellem Arbeitgeber eine frei- 
willige Einwilligung nicht ermöglicht, 
die Einwilligung als Rechtsgrundlage im 
Bewerbungsprozess also ausscheidet. 


c. Verarbeitung während des Beschäf- 
tigungsverhältnisses 


Angesichts der vielen unterschiedli- 
chen Fallgestaltungen erscheint eine 
abschließende Listung der zulässigen 
Kontrollzwecke im Beschäftigungs- 
verhältnis nicht möglich. Unbefriedi- 
gend ist aber auch die in 8 26 Abs. 1 
S. 1 BDSG enthaltene, auf Art. 88 Abs. 1 
S. 1 DSGVO zurückgehende General- 
klausel (s.o. II.). Es ist möglich und 
nötig typische konkretisierte Zwecke 
beispielhaft zu benennen, wodurch 
zugleich - bei entsprechender Doku- 
mentation - eine Zweckdifferenzierung 
erreicht werden kann: Einhaltung ge- 
setzlicher Verpflichtungen, Schutz des 
Eigentums und Vermögens des Arbeit- 
gebers, Wahrung von Betriebsgeheim- 
nissen, Optimierung von Arbeitsprozes- 
sen, Qualitätssicherung der Produktion, 
Aufdeckung von Straftaten und groben 
Pflichtverletzungen, Entgeltabrech- 
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nung, betriebliches Eingliederungsma- 
nagement.“ 

Hinsichtlich der Art und der Inten- 
sität der Datenerhebung können ge- 
setzlich relevante Kriterien benannt 
werden, die bei der Verhältnismäßig- 
keitsprüfung anzulegen sind, z.B. die 
zeitliche und räumliche Dimension von 
Kontrollen, die Sicherung von kont- 
rollfreien Bereichen, Art und Anlass 
von Kontrollmaßnahmen, prozedurale 
Vorgaben, Transparenz gegenüber den 
Betroffenen. Als absolute Grenze sollte 
eine lückenlose technische Kontrolle 
am Arbeitsplatz, also eine Dauer- und 
Totalüberwachung, ausdrücklich aus- 
geschlossen werden.“ Die Kriterien 
dafür, wann von einer solchen Dauer- 
und Totalüberwachung auszugehen ist, 
müssen klar definiert werden. 

Zumindest für Daten, die alleine 
aus Gründen der Sicherstellung des 
ordnungsgemäßen Betriebs und zur 
Fehlerbehebung erhoben und weiter- 
verarbeitet werden, sollte eine enge 
Zweckbindung bestehen. Dies betrifft 
insbesondere so genannte Protokoll- 
daten (Logfiles), die sowohl die Admi- 
nistration als auch die Nutzung von 
Systemen automatisiert nachzeichnen. 
Eine Zweckänderung nach Art. 6 Abs. 4 
DSGVO sollte ausdrücklich ausgeschlos- 
sen werden. 

Ein außerdem requlierungsbedürfti- 
ger Sonderfall der Beschäftigtenkont- 
rolle ist die im Homeoffice, da hier der 
räumliche, zeitliche und sozial-fami- 
liäre Intimbereich durch Arbeitgeber- 
vorgaben tangiert sein kann.‘ Insofern 
kann und muss die Einwilligung der Be- 
troffenen von Relevanz sein. 


d. Ausgewählte konkrete Kontrollan- 
lässe und -maßnahmen 


Heimliche Kontrollmaßnahmen des 
Arbeitgebers, die nur in begründeten 
Einzelfällen, also ausnahmsweise erlaubt 
sein können, sind von materiellen Vor- 
aussetzungen abhängig zu machen (z.B. 
zur Aufklärung von erheblichen Straf- 
taten oder schweren Pflichtverletzun- 
gen).‘ Anlass für derartige Maßnahmen 
muss in jedem Fall ein zu dokumentie- 
render konkreter hinreichender Verdacht 
sein. Im Interesse der Wahrung der Ver- 
hältnismäßigkeit ist ein eskalierendes 
Vorgehen zu prüfen. Die Maßnahmen 
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bedürfen einer verfahrensmäßigen Ein- 
hegung. Diese kann darin bestehen, dass 
der betriebliche Datenschutzbeauftragte 
und der Betriebsrat einbezogen werden. 
Es ist klarzustellen, dass die Mitbestim- 
mungsrechte durch einen datenschutz- 
rechtlich normierten Erlaubnistatbe- 
stand nicht obsolet werden. 

Im Rahmen des Arbeitsverhältnisses 
entstehen angesichts einer zunehmen- 
den Digitalisierung im Bereich der Pro- 
duktion, Kommunikation und Organi- 
sation oft zwangsläufig bzw. nebenbei 
beschäftigtenbezogene Daten. Hierbei 
kann es sich um sensitive i.S.v. Art. 9 
DSGVO oder sonstige besondere schutz- 
bedürftige Daten handeln. Deren Sekun- 
därnutzung und die damit verbundene 
Zweckänderung, z.B. für Verhaltens- und 
Leistungskontrollen, muss auf das unbe- 
dingt erforderliche und verhältnismäßige 
Maß eingeschränkt werden. Sie muss in 
einem für die Beschäftigten transparen- 
ten und damit kalkulierbaren Verfahren 
erfolgen. Die Einbeziehung des Betriebs- 
rats bei diesem Verfahren sollte gesetzlich 
vorgesehen werden; die konkrete Aus- 
gestaltung in Form von Informations-, 
Kontroll- und Interventionsrechten kann 
Betriebsvereinbarungen überlassen wer- 
den (zur Mitbestimmung s.u. V.e.). Die 
Zweckänderung von besonders invasiv 
erhobenen Daten, etwa über Gefühle oder 
Gesundheitszustände, ist vollständig ge- 
setzlich auszuschließen. 

Arbeitgeber schalten bei ihrer Daten- 
verarbeitung zunehmend Dritte ein, die 
Hard- und Software (z.B. beim Cloud- 
Computing) bereitstellen, aber auch 
weitergehende Dienstleistungen und 
Personal zum Einsatz bringen. Es ist 
gesetzlich sicherzustellen, dass hierbei 
der Arbeitgeber, etwa durch die Ver- 
tragsgestaltung mit dem Dienstleister, 
gewährleistet, dass sämtliche indivi- 
duellen und kollektiven Rechte der Be- 
troffenen bzw. des Betriebsrates wahr- 
genommen werden können.“ Weiterhin 
muss gewährleistet werden, dass diese 
Dienstleister die erhobenen Daten nur 
für legitime und nicht für kommerzielle 
eigene Zwecke nutzen. Beispielsweise 
ist klarzustellen, dass die Nutzung von 
Beschäftigtendaten (Kundendaten) 
durch den Dienstleister zur Weiterent- 
wicklung eines eigenen Produkts als 
kommerzielle Nutzung gilt und zu un- 
terbleiben hat. 


Insbesondere Arbeitgeber in Kon- 
zernverbünden strukturieren ihre Ar- 
beitshierarchie häufig über eine sog. 
Matrix-Organisation. Diese dient in der 
Regel der gesellschaftsübergreifenden 
Projektarbeit und soll die disziplinari- 
schen Zuständigkeiten auch über die 
Arbeitgebergrenzen hinweg innerhalb 
eines Mutterkonzerns sicherstellen, 
wozu ein berechtigtes Interesse des Ar- 
beitgebers bestehen kann. Überschrei- 
ten die Konzernunternehmen hierbei 
reine Hilfsfunktionen und bestimmen 
dadurch Zwecke und Mittel der Daten- 
verarbeitung, so besteht eine gemein- 
same datenschutzrechtliche Verant- 
wortung. Gesetzlich kann zumindest 
beispielhaft aufgeführt werden, wann in 
solchen Fällen ein berechtigtes Interes- 
se des Arbeitgebers besteht und welche 
berechtigten Interessen von Beschäf- 
tigten der Verarbeitung entgegenstehen 
können. Der Arbeitgeber hat in diesen 
Fällen jedenfalls sicherzustellen, dass 
für die Beschäftigten transparent ist, 
welcher Konzernteil welche Aufgaben 
wahrnimmt. Werden hierbei Beschäftig- 
tendaten des Arbeitgebers mit Daten an- 
derer Konzernunternehmen verknüpft 
so sind, unbeschadet bestehender Mit- 
bestimmungsrechte der Interessenver- 
tretungen, durch explizit festzulegen- 
de und zu dokumentierende geeignete 
Maßnahmen die Beschäftigteninteres- 
sen sicherzustellen. 

Die Verarbeitung sensitiver Daten ge- 
mäß Art. 9 DSGVO, insbesondere von Ge- 
sundheitsdaten, ist schon bisher weit- 
gehend bereichsspezifisch geregelt.’ In 
diesen Regelungen sind Anlass, Zweck, 
Umfang und Beteiligte der Datenver- 
arbeitung zumeist rechtssicher festge- 
legt. Zudem besteht in 8 26 Abs. 3 BDSG 
eine generalklauselhafte Regelung ohne 
praktische Relevanz. Da sie lediglich 
europarechtliche Vorgaben wiederholt, 
dürfte diese Regelung, ebenso wie & 26 
Abs. 1 S. 1 BDSG, europarechtlich un- 
zulässig und deshalb nicht anwendbar 
sein (s.o. III.). Die Notwendigkeit einer 
über die bereichsspezifischen Festle- 
gungen hinausgehenden gesetzlichen 
Norm bedarf einer näheren Begrün- 
dung, zumal Spezifizierungen des Art. 9 
Abs. 2 lit. b DSGVO auch durch Kollek- 
tivvereinbarungen nach Art. 88 Abs. 1 
DSGVO möglich sind. Jedenfalls sind 
zusätzliche Sicherungen vorzusehen. 
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Hinsichtlich der Eingriffsschwere ist die 
Verarbeitung von sensitiven Daten mit 
Verhaltens- und Leistungskontrollen 
oder mit dem Einsatz von KI-Verfahren 
vergleichbar. Es bietet sich an zumin- 
dest diese Art der Datenverarbeitung 
auch mitbestimmungspflichtig zu ma- 
chen (s.u. weitergehend V.e.). 

Der Einsatz von sog. künstlicher In- 
telligenz (KT) in Beschäftigungsverhält- 
nissen nimmt stark zu, etwa in Bewer- 
bungsverfahren, bei der Gefahrenvor- 
sorge, beim Einsatz von sog. sozialen 
Medien oder im Rahmen der Produktion. 
Die Regelung des Art. 22 DSGVO, die die 
automatisierten Entscheidungen auch 
im Beschäftigungsverhältnis reguliert, 
greift vielmals zu kurz.°! Im Fall einer 
Regulierung bedarf es zunächst einer 
möglichst präzisen Festlegung, welche 
Verfahren erfasst sein sollen. Ange- 
sichts des Umstands, dass die EU eine 
umfassende KI-Verordnung plant, die 
auch für Beschäftigungsverhältnisse 
gelten soll (s.o. V.b.), erscheint eine 
nationale materiell-rechtliche Vollre- 
gelung nicht erforderlich. Um zu ver- 
meiden, dass sich eine entsprechende 
Praxis etabliert, sollte aber klargestellt 
werden, dass der Einsatz von Kl allein 
auf Basis einer individuellen Einwilli- 
gung nicht statthaft ist. Eine Unter- 
richtungspflicht in Bezug auf KI wurde 
2021 mit dem Betriebsrätemodernisie- 
rungsgesetz in den 88 80 Abs. 3 S. 2, 90 
Abs. 1 Nr. 3 BetrVG konkretisiert. Eine 
Mitbestimmungspflicht beim KI-Einsatz 
in Personalentscheidungen wurde in 
8 95 Abs. 2a BetrVG eingeführt.’ 

Die EU hat eine Whistleblower-Richt- 
linie’? erlassen, die am 17.12.2021 in 
deutsches Recht hätte umgesetzt sein 
müssen. Nunmehr liegt ein Entwurf ei- 
nes Hinweisgeberschutzgesetzes vor, 
der wohl hauptsächlich bei Beschäfti- 
gungsverhältnissen anzuwenden sein 
wird. Dieser in manchen Einzelfragen 
noch umstrittene Entwurf wird voraus- 
sichtlich in Bälde Gesetz.°* Angesichts 
dessen scheint es nicht angebracht 
allgemeine Regelungen hierzu in ein 
BeschDSG zu integrieren. Es kann aber 
evtl. zusätzlich nötig sein, spezifisch 
arbeitsrechtliche Fragen, etwa zu ei- 
nem Disziplinierungs- und Kündigungs- 
schutz oder Aspekte zum Umfang der 
trotz gesetzlicher Vorgabe bestehenden 
Mitbestimmungsrechte bei der Ausge- 
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staltung konkreter Hinweisgebersys- 
teme in das Hinweisgeberschutzgesetz 
oder auch ins BeschDSG aufzunehmen. 


e. Kollektivrechtliche Aspekte 


Der Betriebsrat hat gemäß 8 80 Abs. 1 
Nr. 1 BetrVG die Aufgabe die Einhal- 
tung der Arbeitnehmer schützenden 
Gesetze zu überwachen. Hierzu gehört 
die Überwachung der Beachtung des 
Datenschutzrechts. Dies wird in & 75 
Abs. 2 S. 1 BetrVG bestärkt, wonach 
es dem Betriebsrat zukommt die freie 
Entfaltung der Persönlichkeit der im 
Betrieb beschäftigten Arbeitnehmer zu 
schützen und zu fördern. Diese Förde- 
rungsaufgabe kann dadurch verstärkt 
werden, dass dem Betriebsrat insofern 
gesetzlich explizit ein Initiativrecht zu- 
gestanden wird. 

Durch das Betriebsrätemodernisie- 
rungsgesetz wurde in & 79a BetrVG 
klargestellt, dass die datenschutzrecht- 
liche Verantwortlichkeit für die perso- 
nenbezogene Verarbeitung durch den 
Betriebsrat beim Arbeitgeber verbleibt. 
Der unabhängige Betriebsrat hat mit 
dem Arbeitgeber zu kooperieren. Bei- 
spielhaft können die sich hieraus erge- 
benden Pflichten konkretisiert werden, 
etwain Bezug auf die Erstellung des Ver- 
arbeitungsverzeichnisses nach Art. 30 
DSGVO, die Umsetzung der Betroffe- 
nenrechte nach Art. 12 ff DSGVO oder 
die Erstellung eines Löschkonzepts für 
die beim Betriebsrat rechtmäßig ver- 
arbeiteten Daten. Hinsichtlich der Da- 
tenschutzkontrolle beim Betriebsrat ist 
vorstellbar, dass der Datenschutzbeauf- 
tragte hiermit ein Betriebsratsmitglied 
beauftragt. 

Datenschutzbeauftragter und Be- 
triebsrat verfolgen bzgl. der Verarbei- 
tung von Beschäftigtendaten gleich- 
gerichtete Aufgaben und Interessen. 
Um eine enge und gute Kooperation zu 
erleichtern, ist es sinnvoll, unabhängig 
von bestehenden Mitbestimmungsrech- 
ten nach 8 99 BetrVG, die Einstellung 
und Abberufung von (internen wie 
externen) Datenschutzbeauftragten 
mitbestimmungspflichtig zu machen.” 
Bei der Beurteilung der gesetzlich ge- 
forderten fachlichen Kompetenz, zu 
der auch die Kompetenz gehört die 
Persönlichkeitsrechte der Beschäf- 
tigten zu wahren, ist die Erfahrung 


und Expertise des Betriebsrates von 
Bedeutung. Angesichts des erhöhten 
Kündigungsschutzes, den betriebliche 
Datenschutzbeauftragte genießen, ist 
es schon bei deren Bestellung von zen- 
traler Bedeutung, dass diese Person das 
Vertrauen des Betriebsrats genießt und 
die Fähigkeit hat in datenschutzrechtli- 
chen Konflikten im Betrieb zwischen Ar- 
beitgeber und Arbeitnehmervertretung 
zu vermitteln. 

Eine Erweiterung der Mitbestim- 
mungspflicht bietet sich - in Erwei- 
terung des & 87 Abs. 1 Nr. 6 BetrVG 
- generell für die Ausgestaltung und 
Konkretisierung des Beschäftigtenda- 
tenschutzes im Betrieb an. Es ist bisher 
oft unklar, inwieweit bei Verfahren, die 
zur Verhaltens- und Leistungskontrolle 
geeignet sind, Regelungen in einer Be- 
triebsvereinbarung erlaubt und geboten 
sind (zu Verarbeitungszwecken, Zu- 
griffsberechtigungen, Löschkonzepten, 
technisch-organisatorischen Maßnah- 
men, Betroffenenrechten).’® Durch eine 
entsprechende Erweiterung kann diese 
Unsicherheit beseitigt und dem Auftrag 
in 8 75 Abs. 2 S. 1 BetrVG eine prozessu- 
ale Grundlage gegeben werden.’’ Zudem 
sollte künftig gesetzlich gewährleis- 
tet werden, dass Betriebsräte bei der 
Erstellung einer Datenschutz-Folgen- 
abschätzung für Beschäftigtendaten 
verarbeitende Systeme und Verfahren 
gemäß Art. 35 Abs. 9 DSGVO zwingend 
eingebunden werden.”® 

Der von Art. 88 DSGVO vorgesehene 
Abwägungsprozess kann über in Be- 
triebsvereinbarungen fixierte angemes- 
sene Garantien gestaltet werden. Dies 
kann der Fall sein, wenn die Wahrung 
schutzwürdiger Betroffeneninteressen 
eine Verarbeitung zur Umsetzung be- 
rechtigter Interessen legitimieren soll 
(Art. 88 Abs. 15. 1i.V.m. Art 6 Abs. 1 
lt. £ DSGVO), was auch im Fall der Ver- 
arbeitung sensitiver Daten relevant sein 
kann (Art. 9 Abs. 2 lit. b DSGVO). Bei 
Datentransfers in ein aus Datenschutz- 
sicht unsicheres Drittland können dort 
geeignete Garantien geregelt werden, 
die z.B. ergänzend zu Standarddaten- 
schutzklauseln oder Binding Corporate 
Rules (Art. 47 DSGVO) zur Anwendung 
kommen (Art. 46 DSGVO). 

In der Praxis wird häufig darüber ge- 
stritten, ob der Betriebsrat einen An- 
spruch darauf hat, dass ihm die vom 
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verantwortlichen Arbeitgeber zu erstel- 
lenden datenschutzrechtlichen Doku- 
mente, soweit sie die Verarbeitung von 
Beschäftigtendaten betreffen, gemäß 
& 80 Abs. 2 S. 2 BetrV/G vorgelegt wer- 
den müssen. Zwecks Klarstellung der 
Rechtslage sollte festgehalten werden, 
dass dem Betriebsrat die relevanten Do- 
kumente (u.a. Verarbeitungsverzeich- 
nis gemäß Art. 30 DSGVO, Datenschutz- 
Folgenabschätzung gemäß Art. 35 DS- 
GVO, Verträge zur Auftragsverarbeitung 
und zur gemeinsamen Verantwortlich- 
keit gemäß Art. 26, 28 DSGVO, Zerti- 
fizierungsunterlagen gemäß Art. 42 
DSGVO, Verträge und Genehmigungen 
zur Drittauslandsübermittlung gemäß 
Art. 45 ff. DSGVO) bereitzustellen sind. 

Die datenschutzrechtliche Expertise 
von Betriebsräten hat in den letzten 
Jahren zugenommen. In noch stärke- 
rem Maße zugenommen hat aber die 
rechtliche und technische Komplexität 
von Informations- und Kommunika- 
tionssystemen. Diese entsteht durch 
erweiterte Funktionalität und Komple- 
xität von Daten und Software, stärkere 
Vernetzung mit vielfältigen Schnittstel- 
len, den Einsatz von nicht selbst betrie- 
benen Systemen und generell durch die 
Einbindung externer IT-Dienstleister. 
Überschreiten Systeme eine bestimmte 
Komplexitätsschwelle, ist der Betriebs- 
rat zur Wahrung seiner Aufgaben darauf 
angewiesen externen Sachverstand hin- 
zuziehen. Die Bestimmung in 8 80 Abs. 3 
BetrVG zur Sicherstellung der erforder- 
lichen sachverständigen Unterstützung 
sollte dadurch verbessert werden, dass 
die Hinzuziehung von Sachverständi- 
gen bei bestimmten Systemgestaltun- 
gen gesetzlich vermutet wird. Um den 
Anreiz zu erhöhen unabhängig geprüfte 
Verfahren einzusetzen, kann gesetz- 
lich geregelt werden, dass im Fall einer 
Zertifizierung gemäß Art. 42 DSGVO die 
Rechtskonformität gesetzlich ange- 
nommen wird.” 


f. Betroffenenrechte 


Die Betroffenenrechte sind in den 
Art. 12 ff. DSGVO weitgehend abschlie- 
ßend reguliert. Zwar sind viele Aspekte 
in der Rechtsprechung und der Literatur 
umstritten. Eine Klärung dieser Streit- 
fragen muss wegen des abschließenden 
Charakters der DSGVO jedoch weitge- 
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hend den Gerichten überlassen blei- 
ben.‘ Eine Ausnahme hiervon besteht 
für Beschränkungen der Betroffenen- 
rechte, wo über eine Öffnungsklausel 
Spielräume für nationale Regelungen 
bestehen (Art. 23 DSGVO). Insbesonde- 
re hinsichtlich des Schutzes der Rechte 
undFreiheitenanderer Personen (Art. 23 
Abs. 1 lit. i DSGVO) bestehen arbeits- 
rechtliche Konkretisierungsmöglichkei- 
ten. Es sollte klargestellt werden, dass 
Betriebs- und Geschäftsgeheimnisse 
dem individuellen Auskunftsersuchen 
nach Art. 15 DSGVO nicht entgegenge- 
halten werden können. 

Konkretisierungen sind auch hin- 
sichtlich der Verfahren zur Inanspruch- 
nahme der Betroffenenrechte vorstell- 
bar, etwa zu Antwortfristen, zum Ab- 
lauf des Auskunftsverfahrens oder zum 
Technikeinsatz. 

Große Unsicherheit besteht bisher 
hinsichtlich der Regelfristen für die Lö- 
schung personenbezogener Daten. Es 
gibt, etwa im Gesundheits-, im Steuer- 
und im Handelsrecht spezifische Rege- 
lungen, nicht aber für Standardprozesse 
in Beschäftigungsverhältnissen (Perso- 
nalakte nach Beendigung des Beschäf- 
tigungsverhältnisses, Lohnnachweise, 
Zeugnisse und Bewertungen, Abmah- 
nungen). Gesetzliche Vorgaben können 
hier Rechtssicherheit für alle Beteiligten 
schaffen. Auch sollten, möglicherweise 
mit Bezug auf DIN 66398, grundlegende 
Anforderungen an die Festlegung und 
Dokumentation von Regellöschfristen 
formuliert werden. 

Besteht in einem Unternehmen ein 
Betriebsrat, haben die betroffenen Be- 
schäftigten eine datenschutzrechtliche 
Interessenvertretung. Fehlt es hieran, 
so ist das Übergewicht der Arbeitge- 
berseite gegenüber den isolierten Be- 
schäftigten höher. Dem kann durch 
kompensierende individuelle Rechte, 
z.B. solche, die ansonsten auch dem 
Betriebsrat zustehen, entgegengewirkt 
werden.°! 


g. Folgen rechtswidriger Datenverar- 
beitung und Rechtsdurchsetzung 


Es ist oft streitig, inwieweit bei un- 
zulässiger Datenerhebung und -spei- 
cherung ein Sachvortrags- oder ein 
Beweisverwertungsverbot im Rahmen 
von gerichtlichen Verfahren, etwa an- 


lässlich einer Kündigung, besteht.‘ 
Hinsichtlich des gebotenen Interes- 
senausgleichs der Beteiligten schafft 
eine gesetzliche Regelung mit Regel- 
beispielen, wofür die Rechtsprechung 
Anhaltspunkte liefern kann, mehr Klar- 
heit. Zugleich lassen sich so die Anreize 
für eine unzulässige Datenverarbeitung 
verringern. Den Parteien sollte aus- 
drücklich in einer Betriebsvereinbarung 
die Möglichkeit der Vereinbarung von 
Verwertungsverboten eröffnet werden, 
auch bei der Missachtung von Mitbe- 
stimmungsrechten. 

Das bestehende Abhängigkeitsver- 
hältnis zum Arbeitgeber sowie Rechts- 
unsicherheiten können dazu führen, 
dass Beschäftigte vor einer Kontakt- 
aufnahme mit der Aufsichtsbehörde 
zurückschrecken und eine gerichtliche 
Auseinandersetzung mit ihrem Arbeit- 
geber scheuen. Art. 80 DSGVO sieht vor, 
dass nicht nur die betroffene Person 
selbst, sondern Verbände im Verfahren 
oder Prozess auftreten können. Nach 
Art.80 Abs. 1 DSGVO kann eine betroffe- 
ne Person einen Verband insofern beauf- 
tragen, beispielsweise um ihr Beschwer- 
derecht bei einer Aufsichtsbehörde 
auszuüben oder Ansprüche auf Infor- 
mation, Auskunft und Unterlassung 
gegen den Verantwortlichen geltend zu 
machen. Gemäß Art. 80 Abs. 2 DSGVO 
können Mitgliedstaaten ein von einem 
Auftrag durch Betroffene unabhängiges 
Verbandsklagerecht einführen - auch 
für Betriebsräte oder Gewerkschaften.‘° 
Damit kann ein Beitrag geleistet werden 
in Erweiterung der auf Verbraucher ab- 
zielenden europäischen Verbandsklage- 
richtlinie, die bis zum 25.12.2022 hätte 
umgesetzt werden müssen.‘ Mit kollek- 
tiven Rechtsdurchsetzungsmöglichkei- 
ten können individuelle Rechtsverfah- 
ren vermieden und zugleich bestehende 
Vollzugsdefizite verringert werden. Dies 
erhöht die Rechtskonformität bei der 
Verarbeitung von Beschäftigtendaten 
und entlastet alle Beteiligten. 


VI. Etablierung einer Beschäftigten- 
datenschutzkommission 


Der Beirat zum Beschäftigtenda- 
tenschutz hat die Schaffung einer 
ständigen Beschäftigtendatenschutz- 
kommission beim Bundesministerium 
für Arbeit und Soziales (BMAS) vorge- 
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schlagen, die Entwicklungen im Be- 
reich des Beschäftigtendatenschutzes 
begleiten und abstrakte Regelungen 
für die Praxis konkretisieren soll. Die 
Beteiligung der Datenschutzaufsichts- 
behörden und der Sozialpartner sollen 
hierbei sichergestellt werden. Das Gre- 
mium soll die Normgeber beraten und 
neue Instrumente in den Blick nehmen, 
etwa zur Entwicklung von Standards, 
Best-Practice-Ansätzen, Musterdo- 
kumenten, Audits und Prüfkriterien 
für Datenschutzzertifizierungen (vgl. 
Art. 42 Abs. 5 DSGVO). Ein solches Gre- 
mium kann dazu beitragen, dass ange- 
passt an aktuelle technische Entwick- 
lungen ein frühzeitiger Ausgleich zwi- 
schen Arbeitgeber- und Beschäftigten- 
interessen gesucht und gefunden wird 
und dass dieser Ausgleich nicht allein 
den Betriebsparteien und den Gerichten 
überlassen wird.‘ 


VII. Schlussbemerkung 


Die Geschichte des bisherigen Schei- 
terns eines Beschäftigtendatenschutz- 
gesetzes und des Langberichts des da- 
für eingesetzten Beirats zeigt, dass eine 
Einigung zwischen Arbeitgeber- und 
Arbeitnehmervertretern bis heute nicht 
gelungen und auf kurze Sicht nicht 
absehbar ist. Die Arbeitgeberseite ver- 
weigert sich bisher einer zeitgemäßen 
Regulierung. Angesichts des hohen und 
zunehmenden Problempotentials darf 
dies nicht der Grund für die Politik sein 
sich den Regelungsnotwendigkeiten 
zu entziehen. Es ist gerade bei dieser 
Konstellation geboten zum Schutz der 
schwächeren Partei - der Beschäftig- 
tenseite - gesetzliche Vorgaben zu ma- 
chen. Dies hindert die Politik nicht den 
praktischen Bedürfnissen der Unter- 
nehmen hinsichtlich Rationalisierung 
der Datenverarbeitung und der Effek- 
tivierung von Organisation, Produk- 
tion und Verfahren durch Digitalisie- 
rung zu entsprechen. Die Politik hat in 
Deutschland aufgrund ihrer profunden 
Erfahrung im gesetzlichen Datenschutz 
die Möglichkeit EU-weit Standards zu 
setzen. Ein gutes Gesetz vermittelt der 
Arbeitgeberseite vielleicht die Einsicht, 
dass der Datenschutz der Beschäftigten 
letztlich auch in ihrem Interesse liegt 
und zu erhöhter Rechtssicherheit führt. 
Eine regulierte und interessenwahrende 
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Datenverarbeitung erhöht die Zufrie- 
denheit der Beschäftigten und dadurch 
deren Motivation, deren Zufriedenheit 
und letztlich deren Kreativität und Pro- 
duktivität. 
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Beschäftigtendatenschutz aus gewerkschaftlicher Sicht 


Die Datenschutz-Grundverordnung 
(DSGVO) verzichtet darauf einheitli- 
che europaweit gültige Regelungen 
zum Beschäftigtendatenschutz vor- 
zugeben. Art. 88 DSGVO trägt zwar die 
Überschrift „Datenverarbeitung im Be- 
schäftigungskontext”, beschränkt sich 
aber inhaltlich insbesondere darauf den 
Mitgliedsstaaten die Verantwortung für 
die Schaffung spezifischer gesetzlicher 
Regelungen zuzuweisen. Als mögliche 
Regelungsinhalte werden in Art. 88 
Abs. 1 DSGVO Zwecke der Einstellung, 
der Erfüllung des Arbeitsvertrags, des 
Managements, der Planung und der Or- 
ganisation der Arbeit genannt, zudem 
zur Gleichheit und Diversität oder zur 
Gesundheit und Sicherheit am Arbeits- 
platz sowie zum Schutz des Eigentums 
von Arbeitgebern und Kunden. Art. 88 
Abs. 2 DSGVO gibt vor, dass Regelungen 
in den Mitgliedsstaaten insbesondere 
angemessene Maßnahmen zur Wahrung 
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der menschlichen Würde, der berechtig- 
ten Interessen und der Grundrechte der 
betroffenen Personen umfassen sollen. 
Als spezifische Regelungsthemen wer- 
den die Transparenz der Verarbeitung, 
die Übermittlung personenbezogener 
Daten innerhalb von Konzernstrukturen 
und Überwachungssysteme am Arbeits- 
platz benannt. 

In Deutschland wurde die durch die 
DSGVO eröffnete Möglichkeit zur Schaf- 
fung eines Beschäftigtendatenschutz- 
gesetzes bisher nicht genutzt. Ein im 
Sommer 2020 vom Bundesminister für 
Arbeit und Soziales eingesetzter inter- 
disziplinärer Expertenbeirat hat zwar 
anlässlich der Übergabe seines Berichts 
festgestellt, dass zentrale Elemente des 
Beschäftigtendatenschutzes einer wirk- 
samen und rechtssicheren gesetzlichen 
Festlegung bedürfen.’ Bundesarbeits- 
minister Hubertus Heil hat anschlie- 
ßend daraufhingewiesen, dass die neue 


Koalition in der aktuellen Legislatur 
Regelungen zum Beschäftigtendaten- 
schutz schaffen will, um Rechtsklarheit 
für Arbeitgeber und Beschäftigte zu er- 
reichen und die Persönlichkeitsrechte 
der Beschäftigten effektiv zu schützen.? 
Über den Arbeitsstand zu diesem The- 
ma ist aber in der Öffentlichkeit bisher 
nichts bekannt. Damit setzt sich auf 
der politischen Ebene die „unendliche 
Geschichte“ fort, die sich bezüglich der 
Schaffung eines gesetzlichen Beschäf- 
tigtendatenschutzes in den letzten 
Jahrzehnten abgespielt hat.’ 

In der Arbeitswelt wurde und wird 
die Erforderlichkeit einer in sich ge- 
schlossenen Regelung zum Beschäftig- 
tendatenschutz unterschiedlich ein- 
geschätzt. Von Arbeitgeberseite wird 
ein solches Gesetz vielfach mit dem 
Argument abgelehnt, dass das geltende 
Datenschutzrecht ausreiche. Gewerk- 
schaften, Betriebs- sowie Personalräte 
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und Beschäftigte halten hingegen einen 
gesetzlichen Beschäftigtendatenschutz 
für überfällig. 

Wie ein Beschäftigtendatenschutzge- 
setz aussehen könnte, das den Schutz 
der Rechte von Beschäftigten und nicht 
Ansprüche der Arbeitgeber in den Vor- 
dergrund stellt, verdeutlicht der Ent- 
wurf für ein eigenständiges Beschäftig- 
tendatenschutzgesetz (BeschDSG-E), 
den der Deutsche Gewerkschaftsbund 
(DGB) am 9. Februar 2022 vorgelegt 
hat.‘ Dieser Entwurf zielt insbesondere 
darauf ab Überwachungen von Beschäf- 
tigten zu verhindern, die heimlich, ille- 
gal oder unter Missachtung bestehen- 
der Mitbestimmungsrechte erfolgen. 
Zugleich soll das neue Gesetz Arbeitge- 
bern und Beschäftigten bezüglich der 
Zulässigkeit von Verarbeitungen perso- 
nenbezogener Daten eine Auseinander- 
setzung „auf Augenhöhe” ermöglichen. 

Der BeschDSG-E bewegt sich mit sei- 
nen Regelungen zu relevanten Themen 
des Beschäftigtendatenschutzes in- 
nerhalb des allgemeinen gesetzlichen 
Rahmens, den DSGVO und Bundesdaten- 
schutzgesetz (BDSG) vorgeben. Er wurde 
auf Grundlage eines von einem Wissen- 
schaftler erarbeiteten Vorschlags zusam- 
men mit Juristinnen und Juristen aus 
den DGB-Mitgliedsgewerkschaften ent- 
wickelt. Dem Konzept des BeschDSG-E 
liegt dieErkenntnis zugrunde, dassin der 
Arbeitswelt ein strukturelles Ungleich- 
gewicht der Handlungs- und Reaktions- 
möglichkeiten besteht, das Beschäftigte 
benachteiligt. Hiervon ausgehend ver- 
deutlicht & 1 BeschDSG-E, dass mit den 
vorgeschlagenen Vorschriften vorrangig 
der Schutz der Interessen, Grundrechte 
und Grundfreiheiten der Beschäftigten 
einschließlich der Wahrung des Rechts 
auf informationelle Selbstbestimmung 
angestrebt wird. Verarbeitungen von Be- 
schäftigtendaten durch Arbeitgeber sol- 
len nur zulässig sein, wenn hierfür eine 
klare Erforderlichkeit besteht, etwa weil 
bestimmte Informationen für die Anbah- 
nung, Durchführung oder Abwicklung 
von Beschäftigungsverhältnissen unum- 
gänglich sind. 


I. Anwendungsbereich 
Das Gesetz kommt nach 8 2 Besch- 


DSG-E für die Verarbeitung von Beschäf- 
tigtendaten in der Anbahnungs- und Be- 
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werbungsphase ebenso zur Anwendung 
wie während der Durchführung von 
Beschäftigungsverhältnissen oder nach 
deren Beendigung. Erfasst werden auch 
entsprechende Verarbeitungen durch 
Auftragsverarbeiter oder durch Dritte, 
die von Arbeitgebern ermöglicht oder 
veranlasst sind. Nicht in den Anwen- 
dungsbereich des Gesetzes fallen hinge- 
gen Verarbeitungen, die ausschließlich 
im Rahmen der Ausübung persönlicher 
oder familiärer Tätigkeit erfolgen, etwa 
das Festhalten von Erlebnissen aus dem 
Arbeitsalltag in einem privaten Tage- 
buch. Der gesetzliche Schutz soll nach 
& 2 Abs. 2 BeschDSG-E unterschiedslos 
für analoge wie für digitale Verarbeitun- 
gen bestehen. 

Der in & 4 BeschDSG-E festgelegte 
räumliche Geltungsbereich bezieht Ar- 
beitgeber aus dem öffentlichen wie aus 
dem nicht-öffentlichen Bereich un- 
terschiedslos ein. Weit ist auch der in 
& 3 BeschDSG-E enthaltene persönliche 
Anwendungsbereich, der alle in der Be- 
griffsbestimmung des 8 5 Abs. 3 Ziff. 7 
BeschDSG-E benannten Beschäftigten 
erfasst. Zu den Beschäftigten, dieschon 
derzeit in & 26 Abs. 8 BDSG benannt 
sind, sollen künftig auch „allein tätige 
Selbstständige (,‚Soloselbstständige‘)” 
gehören. Durch diese Erweiterung des 
Anwendungsbereichs sollen die perso- 
nenbezogenen Daten von „Crowd-Wor- 
kern” ebenso geschützt werden wie die 
von „selbstständigen“ Beschäftigten im 
Logistikbereich. Grund für die Einbe- 
ziehung dieser Beschäftigtengruppen 
in den besonderen gesetzlichen Schutz 
ist der in den genannten Bereichen de 
facto bestehende Zwang Auftraggebern 
vielfältige Informationen zur Verfügung 
stellen zu müssen. 


II. Grundsätze 


Den materiellen Regelungen des 
BeschDSG-E sind (ähnlich wie in Art. 5 
Abs. 1 DSGVO für die gesamte Verord- 
nung) in Kapitel II des Entwurfs allge- 
meine Grundsätze vorangestellt, die bei 
jeder Verarbeitung von Beschäftigten- 
daten zu beachten sind. In 8 6 Abs. 1 
BeschDSG-E wird einleitend festge- 
stellt, dass für die Verarbeitung von Be- 
schäftigtendaten ein generelles „Verbot 
mit Erlaubnisvorbehalt” besteht. & 6 
Abs. 3 BeschDSG-E macht klar, dass eine 


Verarbeitung von personenbezogenen 
Daten sowohl datenschutzrechtlich all- 
gemein zulässig als auch für Zwecke des 
Beschäftigungsverhältnisses explizit er- 
forderlich sein muss. Die Erforderlichkeit 
und die mit der Verarbeitung verfolgten 
Zwecke müssen Arbeitgeber in nachprüf- 
barer Weise festlegen und dokumentie- 
ren. Nach $ 8 BeschDSG-E müssen diese 
weiterhin die Bewertungskriterien von 
durchgeführten Verhältnismäßigkeits- 
prüfungen dokumentieren. 

Auf die Erhöhung der Transparenz 
zielt die in 8 6 Abs. 4 BeschDSG-E ver- 
ankerte Pflicht von Arbeitgebern zur 
Direkterhebung ab. Informationssamm- 
lungen über Beschäftigte im Internet 
oder aus anderen digitalen Quellen sind 
ausdrücklich unzulässig. Ausnahmen 
von diesem Verbot, etwa bezüglich der 
Bereitstellung von Informationen durch 
potentielle Beschäftigte in Bewerbungs- 
portalen, sind in 8 6 Abs. 6 BeschDSG-E 
benannt. 

Die Voraussetzungen für das Bestehen 
einer Erforderlichkeit der Verarbeitung 
von personenbezogenen Daten für Zwe- 
cke des Beschäftigungsverhältnisses 
benennt 8 9 BeschDSG-E, womit der „Be- 
sondere Teil B“ mit den 88 9 bis 40 ein- 
geleitet wird. Arbeitgeber werden durch 
& 9 Abs. 2 BeschDSG-E beispielsweise 
dazu verpflichtet Beschäftigten und 
deren Interessenvertretungen auf Ver- 
langen darzulegen, in welcher Form bei 
der Bewertung der Erforderlichkeit die 
allgemeinen Grundsätze in Art. 5 Abs. 1 
DSGVO berücksichtigt werden. Durch 
& 11 BeschDSG-E wird die Zulässigkeit 
der Verarbeitung von Beschäftigtenda- 
ten innerhalb von Konzernstrukturen 
auf die Unternehmen beschränkt, in de- 
nen die Beschäftigten tätig sind. 

Von herausragender Bedeutung für 
die Praxis ist die Regelung zur Zulässig- 
keit der Erteilung von Einwilligungen 
durch Beschäftigte in 8 10 BeschDSG-E. 
Diese Norm benennt in ihrem ersten Ab- 
satz das Bestehen einer nachweisbaren 
Freiwilligkeit als Grundvoraussetzung 
für die Wirksamkeit einer Einwilligung. 
Abs. 3 nimmt zur Beurteilung der Frei- 
willigkeit den Regelungsgehalt auf, der 
derzeit in & 26 Abs. 2 BDSG enthalten 
ist. Durch 8 10 Abs. 4 BeschDSG-E soll 
verhindert werden, dass potentielle 
Arbeitgeber von Bewerberinnen und 
Bewerbern auf der Basis von Einwilli- 
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gungen Information einfordern und er- 
halten, die außerhalb der datenschutz- 
rechtlichen Erforderlichkeit stehen. 


III. Bewerbungsphase 


Der Datenverarbeitung in der Be- 
werbungsphase ist das Kapitel II des 
BeschDSG-E gewidmet. Die Vorschriften 
sollen sicherstellen, dass Arbeitgeber 
in dieser Phase nur solche Informati- 
onen erhalten, die für den Abschluss 
von Beschäftigungsverhältnissen erfor- 
derlich sind. Deshalb muss nach $ 12 
Abs. 3 BeschDSG-E von potentiellen Ar- 
beitgebern der Grundsatz der Datenmi- 
nimierung beachtet werden. Bedeutsam 
hierfür ist die in 8 13 BeschDSG-E ent- 
haltene Begrenzung des Fragerechts von 
Arbeitgebern. Diese Vorschrift nimmt 
Vorgaben der Rechtsprechung zum Fra- 
gerecht auf und stellt normativ klar, dass 
Bewerberinnen oder Bewerber Arbeitge- 
bern nicht beliebige Informationen mit- 
teilen müssen, sondern nur erforderli- 
che. Durch die 88 14 und 15 BeschDSG-E 
wird der Umgang mit personenbezoge- 
nen Informationen im Rahmen erforder- 
licher ärztlicher oder psychologischer 
Untersuchungen oder Testverfahren ab- 
gesteckt. Ausdrücklich verboten werden 
standardmäßig durchgeführte Drogen- 
oder Alkoholtests und psychologische 
Testverfahren, die derzeit von einzelnen 
Unternehmen ohne klare Rechtsgrundla- 
ge durchgeführt werden. 

Durch die Regelungen zur Speicher- 
begrenzung und Datenlöschung in 8 16 
BeschDSG-E werden Arbeitgeber ver- 
pflichtet die personenbezogenen Daten 
erfolgloser Bewerbungen nach Ende des 
Verfahrens unverzüglich zu löschen. 
Wird eine Berücksichtigung von Bewer- 
bungen in künftigen Verfahren in Aus- 
sicht gestellt, kann die Löschung auf 
Basis einer Einwilligung unterbleiben. 

Durch die im BeschDSG-E enthaltenen 
Verarbeitungsregeln sollen die Verarbei- 
tungsmöglichkeiten in der Bewerbungs- 
phase insgesamt auf die aus objektiver 
Sicht notwendigen Informationen be- 
grenzt werden. Zugleich erhöht sich 
durch die Übernahme von einschlägi- 
gen Vorgaben aus der Rechtsprechung 
sowohl für Arbeitgeber als auch für Be- 
werberinnen und Bewerber die Rechts- 
sicherheit bezüglich der Zulässigkeit 
von Verarbeitungen in dieser Phase. 
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IV. Durchführung von 
Beschäftigungsverhältnissen 


Im Mittelpunkt der vorgeschlagenen 
Regelungen zum Beschäftigtendaten- 
schutz stehen die in Kapitel III enthal- 
tenen Vorschriften für die Datenverar- 
beitung für Zwecke der Durchführung 
von Beschäftigungsverhältnissen. Mit 
dem Ziel der Wahrung der Interes- 
sen, Grundrechte und Grundfreihei- 
ten der Beschäftigten legt $ 17 Abs. 1 
BeschDSG-E den Abschnitt einleitend 
fest, dass die Verarbeitungsbefugnisse 
von Arbeitgebern auf solche personen- 
bezogenen Informationen beschränkt 
sind, die für die Durchführung der Be- 
schäftigungsverhältnisse erforderlich 
sind. Zur Feststellung der Erforderlich- 
keit muss stets eine individuelle Inter- 
essenabwägung durchgeführt werden. 
Bei der Verarbeitung müssen nach 
Abs. 2 dieser Vorschrift die Verarbei- 
tungsformen gewählt werden, die so we- 
nig wie möglich in Rechte der Beschäf- 
tigten eingreifen. Flankiert wird diese 
grundsätzliche Vorgabe durch die in 
Abs. 3 enthaltene Verpflichtung zur Di- 
rekterhebung sowie durch die in Abs. 6 
vorgegebene enge Zweckbindung. 

Erwähnenswert ist 8 17 Abs. 5 Besch- 
DSG-E, der auf eine Begrenzung von 
„betrieblichen Hinweisgebersystemen” 
abzielt. Beschäftigte dürfen hiernach 
von Arbeitgebern nicht dazu aufgefor- 
dert werden personenbezogene Daten 
über mögliche Regel-, Vertrags- oder 
Gesetzesverstöße anderer Beschäftigter 
zu verarbeiten oder anderen Personen 
mitzuteilen. Diese Begrenzung schließt 
andere Konstrukte wie etwa die Benen- 
nung neutraler Personen oder Instan- 
zen nicht aus. 

Während laufender Beschäftigungs- 
verhältnisse haben Arbeitgeber tatsäch- 
liche oder vermeintliche Erkenntnisin- 
teressen, die zu Fragen an Beschäftigte 
führen können. Hinsichtlich des Fra- 
gerechts verweist & 18 BeschDSG-E auf 
die entsprechenden Regelungen in der 
Bewerbungsphase. Ergänzend hierzu 
wird durch 8 19 Abs. 1 BeschDSG-E in- 
nerhalb laufender Beschäftigungsver- 
hältnisse die Verarbeitung von Daten 
aus ärztlichen oder psychologischen 
Untersuchungen und Testverfahren nur 
zugelassen, wenn diese gesetzlich zwin- 
gend vorgeschrieben sind. Weitere Aus- 


nahmen werden in Abs. 2 der Vorschrift 
für geplante dauerhafte Versetzungen 
erlaubt. 

Die Verarbeitung von besonderen Ka- 
tegorien personenbezogener Daten im 
SinnevonArt.9 Abs. 1 DSGVO verbindet 
sich mit der Offenbarung sensibler Infor- 
mationen an Arbeitgeber, die aus Sicht 
der Beschäftigten besonders problema- 
tisch ist. Dies gilt insbesondere für In- 
formationen zu Krankheiten, wenn die- 
se Einfluss auf die berufliche Leistungs- 
fähigkeit haben können. & 20 Abs. 1 
BeschDSG-E lässt die Verarbeitung die- 
ser Daten ausnahmsweise zu, wenn es 
hierfür eine freiwillige Einwilligung 
der Beschäftigten oder eine zwingende 
gesetzliche Verpflichtung gibt. Infor- 
mationen zur politischen Ausrichtung, 
zur Gewerkschaftszugehörigkeit oder 
zur Religion dürfen zudem dann ver- 
arbeitet werden, wenn der Arbeitgeber 
eine Partei, eine Gewerkschaft oder eine 
Religionsgemeinschaft ist und wenn Be- 
schäftigte einschlägige Aufgaben wahr- 
nehmen müssen. 


V. Kontrolle von Beschäftigten 


Es ist unbestritten, dass Arbeitge- 
ber bezüglich der Leistungserbringung 
und des beruflichen Verhaltens ihrer 
Beschäftigten über bestimmte Kontroll- 
möglichkeiten verfügen müssen. Der 
Zulässigkeit und Ausgestaltung derarti- 
ger Kontrollen ist Kapitel IV gewidmet, 
dasin den 88 21 bis 29 BeschDSG-E den 
Rahmen des Zulässigen benennt. 

Bezogen auf erforderliche und damit 
zulässige Verhaltens- oder Leistungs- 
kontrollen legt 8 21 Abs. 1 BeschDSG-E 
grundsätzlich fest, dass diese und die 
damit verfolgten Zwecke für betroffene 
Beschäftigte transparent und nachvoll- 
ziehbar sein müssen. Verdeckte oder 
heimliche Überwachungsmaßnahmen 
werden ebenso für unzulässig erklärt 
wie anlasslose, zweckfreie oder dauer- 
hafte Kontrollmaßnahmen. 

& 22 BeschDSG-E benennt Kontroll- 
möglichkeiten von Arbeitgebern zur 
Aufdeckung von Straftaten innerhalb 
von Beschäftigungsverhältnissen. Die 
Regelung ergänzt die aktuell in & 26 
Abs. 15. 2 BDSG enthaltene Vorschrift 
durch eine frühzeitige Einbeziehung 
betroffener Beschäftigter in das Verfah- 
ren. $ 22 Abs. 4 BeschDSG-E gibt vor, 
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dass die hierfür verwendeten personen- 
bezogenen Daten datenschutzkonform 
erhoben wurden und dass sie überhaupt 
verarbeitet werden dürfen. 

Die Zulässigkeit von Kontrollen mit 
Video- oder Audiosystemen sowie die 
Verwendung von vorhandenen Auf- 
nahmefunktionen wird in den 88 23 
und 24 BeschDSG-E geregelt. Es wer- 
den Ausnahmesituationen benannt, in 
denen solche Verarbeitungen zulässig 
sein können. Gleiches gilt für die in 
& 25 BeschDSG-E zu findenden Begren- 
zungen der Verarbeitung von Beschäf- 
tigtendaten in „Cloud-Umgebungen” 
oder mit „KI-Anwendungen”, die eine 
„zweckfreie Verarbeitung” sowie eine 
„allgemeine Vorratsdatenspeicherung” 
ausschließen. 

Mit Blick auf aktuelletechnische Ent- 
wicklungen besonders bedeutsam sind 
die in den 88 26 und 27 BeschDSG-E 
enthaltenen Begrenzungen für die Ver- 
arbeitung von Standortdaten mittels 
integrierter Endgeräte sowie durch Or- 
tungsverfahren. Diese Regelungen ver- 
pflichten Arbeitgeber zu einer engen 
Festlegung der verfolgten Zwecke und 
enthalten zugleich ein Verarbeitungs- 
verbot für alle hierfür nicht benötigten 
Informationen. Die Vorschriften zielen 
auf die Herstellung eines angemes- 
senen Interessenausgleichs. Dies gilt 
auch für 8 28 Abs. 1 BeschDSG-E, der 
die Verarbeitung biometrischer Daten 
von Beschäftigten für den Regelfall un- 
tersagt. Ausnahmen von diesem Verbot 
sind nur für unumgängliche technische 
oder organisatorische Sicherheitsmaß- 
nahmen vorgesehen. In diesem Rah- 
men anfallende Beschäftigtendaten 
müssen nach Erfüllung der festgeleg- 
ten Zwecke von Arbeitgebern unver- 
züglich gelöscht werden. 

Von großer praktischer Relevanz sind 
die Regelungen zum Ausschluss daten- 
schutzwidriger Verarbeitungen und zu 
einem hieraus resultierenden Verwer- 
tungsverbot in 8 29 BeschDSG-E. Verar- 
beitungen von Beschäftigtendaten, die 
gegen gesetzliche Vorschriften, gegen 
Regelungen in Kollektivvereinbarun- 
gen oder gegen kollektivrechtliche 
Beteiligungsrechte verstoßen, sind 
hiernach unzulässig. Diese Regelung 
bewirkt zulasten von Arbeitgebern 
ein normatives „Sachvortragsverwer- 
tungsverbot“. 


DANA ® Datenschutz Nachrichten 4/2022 


VI. Beendigung von Beschäftigungs- 
verhältnissen 


Durch g 30 BeschDSG-E wird in Kapi- 
tel V bezüglich der „Beendigung von Be- 
schäftigungsverhältnissen” festgelegt, 
dass Beschäftigtendaten nach Ende 
einer Tätigkeit nur weiterverarbeitet 
werden dürfen, wenn gesetzliche oder 
kollektivrechtliche Verpflichtungen 
dies zwingend erforderlich machen. 
Mit Blick auf Art. 20 DSGVO werden Ar- 
beitgeber durch 8 31 BeschDSG-E ver- 
pflichtet ausscheidenden Beschäftigten 
nutzerspezifische Daten zur Verfügung 
zu stellen. Hierzu können etwa Daten 
gehören, die in einem individuell „an- 
gelernten” Spracherkennungssystem 
enthalten sind, aber auch für individu- 
elle Arbeitserleichterung geschriebene 
Makros oder Apps. Der Anspruch ent- 
fällt, wenn durch eine entsprechende 
Übergabe Geschäftsgeheimnisse der Ar- 
beitgeber offenbart würden. 


VII. Einzelregelungen 


Die abschließenden Kapitel VI und 
VII BeschDSG-E enthalten Regelungen 
zu Auskunftspflichten von Arbeitge- 
bern gegenüber Beschäftigten in $ 32 
BeschDSG-E, ein Verbandsklagerecht 
für Gewerkschaften zur gerichtlichen 
Geltendmachung von Rechten für Be- 
schäftigte in 8 34 BeschDSG-E und eine 
Möglichkeit zur Gewinnabschöpfung in 
& 37 BeschDSG-E, die erfolgen kann, 
wenn Arbeitgeber in vorsätzlicher oder 
grob fahrlässiger Art und Weise mit ei- 
ner unzulässigen Verarbeitung von Be- 
schäftigtendaten Profite erzielen. 


VIII. Fazit 


Der DGB-Entwurf für ein BeschDSG 
stellt den Schutz der Interessen, Grund- 
rechte und Grundfreiheiten in den Vor- 
dergrund. Diesen Schutzzielen müssen 
sich berechtigte Verarbeitungsinteres- 
sen der Arbeitgeber unterordnen. Ein 
solcher Schutzvorrang ist im Bereich 
des Arbeits- und Sozialrechts nicht un- 
üblich und zielt darauf das bestehende 
Machtgefälle zu verringern. Insoweit 
handelt es sich nicht um einen neu- 
en Regelungsansatz, sondern um die 
Übernahme des allgemeinen arbeits- 
rechtlichen Schutzkonzepts, das der 


Tatsache Rechnung trägt, dass Beschäf- 
tigte gegenüber Arbeitgebern nur über 
begrenzte Handlungsmöglichkeiten 
verfügen. 

Die im BeschDSG-E vorgeschlagenen 
Regelungen lassen erforderliche Verar- 
beitungen, die Arbeitgeber für Zwecke 
der Anbahnung, Durchführung oder 
Beendigung von Beschäftigungsfeldes 
durchführen müssen, im notwendigen 
Maß zu. Insoweit werden deren Hand- 
lungsmöglichkeiten nicht ungebühr- 
lich eingeschränkt. Zugleich schafft 
der BeschDSG-E für Arbeitgeber wie für 
Beschäftigte Rechtsklarheit bezüglich 
zulässiger oder unzulässiger Verarbei- 
tungen. Damit reduziert sich nicht nur 
der Aufwand, sondern auch die Zahlvon 
innerbetrieblichen oder gerichtlichen 
Auseinandersetzungen zu diesem The- 
ma. Schon deshalb ist zu hoffen, dass 
der Vorschlag des DGB den gesetzgebe- 
rischen Prozess für die Schaffung eines 
Beschäftigtendatenschutzgesetzes vor- 
anbringt. 


1 Vgl. „Bericht des unabhängigen, 
interdisziplinären Beirats zum Beschäf- 
tigtendatenschutz, Januar 2022”, S. 6 
(abrufbar unter 
https://www.bmas.de/SharedDocs/ 
Downloads/DE/Arbeitsrecht/ergebnisse- 
beirat-beschaeftigtendatenschutz.pdf. 


2 Vgl. Pressemitteilung des Bundesmini- 
steriums für Arbeit und Soziales vom 
17.1.2022 (abrufbar unter https:// 
www.bmas.de/DE/Service/Presse/ 
Meldungen/2022/bmas-veroeffentlicht- 
ergebnisse-des-beirats-zum- 
beschaeftigtendatenschutz.html). 


3 Vgl. hierzu Wedde CuA 2/2022, S. 28. 


4 Vgl. hierzu Pielin CuA 3/2022, S. 31. Der 
DGB-Gesetzentwurf ist abrufbar unter 
https://www.dgb.de/uber-uns/dgb- 
heute/recht/++co++d8c37b52-88e2- 
11ec-acce-001a4a160123. 
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Bericht des unabhängigen, interdisziplinären Beirats 
zum Beschäftigtendatenschutz 


Einberufung des Beirats durch das Bundesministerium für Arbeit und Soziales 


Mit der Einberufung des interdiszip- 
linären Beirats zum Beschäftigtenda- 
tenschutz hat das Bundesministerium 
für Arbeit und Soziales den Auftrag 
aus dem Koalitionsvertrag der 19. Le- 
gislaturperiode umgesetzt zu prüfen, 
ob ein eigenständiges Gesetz zum Be- 
schäftigtendatenschutz, das die Per- 
sönlichkeitsrechte der Beschäftigten 
am Arbeitsplatz schützt und Rechtssi- 
cherheit für den Arbeitgeber schafft, 
erlassen werden sollte (Koalitionsver- 
trag zwischen CDU, CSU und SPD vom 7. 
Februar 2018 für die 19. Legislaturperi- 
ode, Zeilen 60886 ff.). 

Der Beirat nahm seine Arbeit unter Lei- 
tung der ehemaligen Bundesjustizminis- 
terin Prof. Dr. Herta Däubler-Gmelin im 
Juni 2020 auf. In regelmäßigen Sitzun- 
gen erörterten die Beiratsmitglieder die 
datenschutzrechtlichen Anforderungen 
einer sich schnell verändernden techno- 
logiegetriebenen Arbeitswelt. Im Zent- 
rum der Beratungen standen juristische 
Fragen des Beschäftigtendatenschutzes, 
zugleich wurden die ethischen, wirt- 
schaftlichen und technologischen Pers- 
pektiven betrachtet. 

Die Mitglieder des Beirats kommen 
aus den Bereichen der Arbeits- und Or- 
ganisationspsychologie, der Aufsichts- 
behörden, der betrieblichen Praxis, der 
Ethik, der Informatik und der Rechts- 
wissenschaft. Die diskutierten Themen 
reichten von den Grenzen der Kontrolle 
und Überwachung von Beschäftigten 
über die Frage des zulässigen Umfangs 
der Informationsbeschaffung über Be- 
werberinnen und Bewerber bis hin zum 
Einsatz sog. People Analytics Software 
im Bereich der Personalarbeit. 

In die Beratungen, die pandemiebe- 
dingt hauptsächlich virtuell stattfan- 
den, wurde ein breites Spektrum exter- 
ner Expertise einbezogen. Allen voran 
brachten der Deutsche Gewerkschafts- 
bund und die Bundesvereinigung der 
Deutschen Arbeitgeberverbände wichti- 
ge Beiträge in die Diskussion ein. Eben- 
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so wurden Vertreterinnen und Vertre- 
ter der Datenschutzkonferenz und der 
Datenethikkommission angehört. Aus 
der Praxis in den Betrieben berichteten 
interne und externe Datenschutzbeauf- 
tragte, Betriebsräte sowie Unterneh- 
merinnen und Unternehmer. Der Beirat 
erhielt zudem Anregungen von Exper- 
tinnen und Experten aus dem Bereich 
Technologie, wie Prof. Dr. Katharina 
Zweig von der TU Kaiserslautern und 
Prof. Dr. Hannes Federrath von der Uni- 
versität Hamburg, sowie aus der Zivil- 
gesellschaft durch Matthias Spielkamp, 
Mitgründer und Geschäftsführer von Al- 
gorithmWatch. 

Der Beirat diskutierte und arbeite- 
te unabhängig von der Einflussnahme 
Dritter. 

Am 17. Januar 2022 übergab der Bei- 
rat für den Beschäftigtendatenschutz 
zum Abschluss seiner Tätigkeit die 
nachfolgenden Thesen und Empfehlun- 
gen zur Fortentwicklung des Beschäf- 
tigtendatenschutzes an den Bundesmi- 
nister für Arbeit und Soziales, Hubertus 
Heil. 


Thesen und Empfehlungen der 
Expertenkommission beim Bun- 
desministerium für Arbeit und 
Soziales zur Fortentwicklung des 
Beschäftigtendatenschutzes 


I. Tiefgreifende Veränderungen der 
Arbeitswelt durch die Digitalisierung 


Seit einigen Jahren führt die fort- 
schreitende Digitalisierung in Betrie- 
ben und Verwaltungen zu tiefgreifen- 
den Veränderungen der Arbeitswelt. 
Dieser Prozess wird sich in den kommen- 
den Jahren noch beschleunigen. 

Datenbasierte Anwendungen prä- 
gen mittlerweile den Arbeitsalltag der 
meisten Beschäftigten. Die dynamische 
Entwicklung der neuen Informations- 
und Kommunikationstechnologien 
sorgt dafür, dass in den Betrieben und 


Verwaltungen immer mehr und immer 
detailliertere Datensätze entstehen, 
die - verbunden mit neuen Möglichkei- 
ten ihrer Verknüpfung und Auswertung 
- Chancen für eine effizientere und 
menschengerechte Gestaltung der Ar- 
beitsorganisation bieten. Zugleich er- 
möglichen diese Daten aber auch eine 
zunehmende Leistungsverdichtung 
sowie eine intensivere Kontrolle und 
Überwachung bis hin zu einer Durch- 
leuchtung der Beschäftigten. Für beide 
Seiten - für die Beschäftigten wie für 
die Arbeitgeber - kann diese Entwick- 
lung demnach einerseits klare Vorteile 
mit sich bringen: Arbeit kann durch 
digitale Unterstützung einfacher und 
weniger belastend sowie effizienter und 
kostengünstiger organisiert werden. 
Andererseits birgt die digitale Transfor- 
mation für die Beschäftigten aber auch 
erhebliche Risiken, insbesondere im 
Hinblick auf ihre Persönlichkeitsrech- 
te: Die feinkörnige Steuerung betrieb- 
licher Prozesse lässt vielfach entspre- 
chend detaillierte, auf die einzelnen 
Beschäftigten bezogene Datensätze 
entstehen, wodurch das Risiko einer 
immer umfassenderen Transparenz und 
Überwachung von Leistung und Verhal- 
ten der Arbeitnehmerinnen und Arbeit- 
nehmer zunimmt. Es gilt den „Gläser- 
nen Beschäftigten” zu verhindern. 
Neue algorithmenbasierte Entschei- 
dungsunterstützungssysteme ermög- 
lichen zudem auf der Grundlage der 
erhobenen Daten Analysen bzw. Vor- 
hersagen, aus denen sich tatsächliche 
oder vermeintliche Erkenntnisse zum 
Verhalten oder zu persönlichen Merk- 
malen von Beschäftigten ergeben. In 
der Bewerbungsphase kann dies dazu 
dienen die Eignung bzw. die Leistungs- 
potenziale von Bewerberinnen und Be- 
werbern zu ermitteln sowie (vermeintli- 
che) Defizite zu identifizieren. Während 
des Beschäftigungsverhältnisses kann 
darüber hinaus die Erfüllung der über- 
tragenen Aufgaben detailliert bewertet 
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werden. Solche Systeme und Verfahren 
können auf der einen Seite zur Schaf- 
fung sachgerechterer Entscheidungen 
beitragen, auf der anderen Seite aber 
auch die Gefahr der Stärkung bestehen- 
der Vorurteile und der Schaffung neu- 
er, intransparenter Diskriminierungen 
hervorrufen. 


II. Fairer Ausgleich zwischen 
Beschäftigten- und Arbeitgeber- 
interessen 


Der Beirat ist der Überzeugung, dass 
es immer wichtiger wird das Span- 
nungsverhältnis zwischen den durch 
die Menschenwürde und den grund- 
rechtlich geschützten Persönlichkeits- 
rechten und Interessen der Beschäftig- 
ten sowie den ebenfalls grundrechtlich 
geschützten Rechten und Interessen 
der Arbeitgeber durch ausgewogene 
Vorgaben zu regeln, um den verbindlich 
vorgegebenen Schutz der Beschäftigten 
durch ein wirksames Datenschutzrecht 
zu gewährleisten und auch bei einer 
weiterhin dynamisch fortschreitenden 
Digitalisierung der Arbeitswelt einen 
fairen Interessenausgleich herbeizu- 
führen. Hierbei können Vereinbarungen 
der Arbeitgeber mit Betriebsräten eine 
besondere Rolle spielen.' 

Bei der Bewältigung dieser Heraus- 
forderung ist es wesentlich die grund- 
rechtlich geschützten Persönlichkeits- 
rechte der Beschäftigten und insbeson- 
dere deren Grundrecht auf informatio- 
nelle Selbstbestimmung abzusichern. 
Dabei erfordert ein wirksamer Daten- 
schutz klare und rechtssichere Regelun- 
gen, damit die Beschäftigten sich der 
Persönlichkeitsrechte bewusst sind und 
ihre Rechte geltend machen sowie Ar- 
beitgeber ihre datenschutzrechtlichen 
Verpflichtungen erkennen können. 

Zugleich stellt der Beirat fest, dass 
die Arbeitgeberseite bei der Verarbei- 
tung von Beschäftigtendaten ebenfalls 
berechtigte, grundrechtlich geschützte 
Rechte und Interessen hat. Deshalb sind 
die Grundrechtspositionen der Beschäf- 
tigten und der Arbeitgeber in einen an- 
gemessenen Ausgleich zu bringen. Ar- 
beitgeber und Beschäftigte sollten beim 
Umgang mit Beschäftigtendaten durch 
ein bundesweit einheitliches, rechtlich 
verbindliches und verlässliches Regel- 
werk rechtssicher einschätzen können, 
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welche Entscheidungen und Maßnah- 
men bei der Verarbeitung von Beschäf- 
tigtendaten zulässig und welche unzu- 
lässig sind. 


III. Gewährleistung der Grund- und 
Freiheitsrechte durch nationales, 
europäisches und internationales 
Beschäftigtendatenschutzrecht 


Das Grundrecht auf informationelle 
Selbstbestimmung, das vom Bundes- 
verfassungsgericht in seinem wegwei- 
senden Volkszählungsurteil aus dem 
Jahr 1983 als Weiterentwicklung des 
Persönlichkeitsschutzes im Hinblick auf 
die Risiken zunehmender Datenverar- 
beitungsprozesse anerkannt worden ist, 
bildet als Ausprägung des untrennbar 
mit der Menschenwürde verbundenen 
Persönlichkeitsschutzes das grundrecht- 
liche Fundament des Beschäftigtenda- 
tenschutzes in Deutschland. Der Be- 
schäftigtendatenschutz mobilisiert den 
Grundrechtsschutz wesentlich über die 
Schutzpflichtdimension des Grundrechts 
auf informationelle Selbstbestimmung, 
die den Staat dazu anhält den grund- 
rechtlichen Wertungen auch in Beschäf- 
tigungsverhältnissen mit privaten Ar- 
beitgebern Geltung zu verschaffen. 

Auf europäischer Ebene sind die Vor- 
gaben der Charta der Grundrechte der 
Europäischen Union (GRCh) und der Da- 
tenschutz-Grundverordnung (DSGVO) 
maßgebend: 

Art. 7 GRCh garantiert den Schutz der 
Privatsphäre. Art. 8 GRCh gewährleistet 
den grundrechtlichen Schutz personen- 
bezogener Daten und etabliert damit 
das europäische Datenschutzgrund- 
recht, das zusätzlich durch Art. 16 des 
Vertrages über die Arbeitsweise der 
Europäischen Union (AEUV) geschützt 
wird. Die DSGVO als zentrales unions- 
rechtliches Rahmenwerk gilt auch für 
den Beschäftigtendatenschutz, ent- 
hält selbst allerdings nur rudimentä- 
re auf diesen Bereich zugeschnittene 
Regelungen und überlässt es mit der 
Öffnungsklausel in Art. 88 DSGVO den 
Mitgliedstaaten durch Rechtsvorschrif- 
ten und Kollektivverträge „spezifische- 
re Vorschriften” für den Datenschutz 
im Beschäftigungskontext zu schaffen. 
Auf internationaler Ebene wird zudem 
mit Art. 8 der Europäischen Menschen- 
rechtskonvention (EMRK) der Wert des 


Persönlichkeitsschutzes als „Recht auf 
Achtung des Privat- und Familienle- 
bens“ hervorgehoben, das sich auch auf 
die Rechtsbeziehungen zwischen Priva- 
ten auswirkt. 

Der deutsche Gesetzgeber hat mit 8 26 
BDSG die ihm durch das europäische 
Recht eröffnete Möglichkeit zu spezifi- 
scheren Regelungen genutzt. Allerdings 
erlaubt & 26 BDSG vielfach keine treff- 
sicheren Aussagen über die Zulässigkeit 
konkreter Verarbeitungen von Beschäf- 
tigtendaten im Einzelfall, sondern be- 
schränkt sich im Wesentlichen auf gene- 
ralklauselartige Regelungen. Als Instru- 
ment zur Sicherung von Menschenwür- 
de, Grund- und Freiheitsrechten ist ein 
rechtssicherer und dadurch wirksamer 
Datenschutz im Beschäftigungskontext 
gerade im digitalen Zeitalter aber un- 
verzichtbar. In diesem Sinne hatte sich 
der Gesetzgeber weitergehende Rege- 
lungen des Beschäftigtendatenschut- 
zes seinerzeit ausdrücklich vorbehalten 
(BT-Drs. 18/11325, S. 97). 

Die legitimen Interessen des Arbeit- 
gebers an einer Verarbeitung von Be- 
schäftigtendaten finden ihre rechtliche 
Grundlage insbesondere in der Gewähr- 
leistung seiner unternehmerischen 
Freiheit, im Schutz seiner Rechtsgüter 
- und dabei vor allem seines Eigentums 
- sowie in seinen Pflichten aus dem Ar- 
beitsschutzrecht. Eine Abwägung und 
einen fairen Ausgleich zwischen den 
durch die Menschenwürde und weiteren 
grundrechtlich geschützten Rechten 
und Interessen der Arbeitnehmerseite 
und den grundrechtlich geschützten 
Rechten und Interessen der Arbeitge- 
berseite durchzuführen ist vornehm- 
lich Sache des Gesetzgebers. Durch kon- 
kretisierende Regelungen kann erreicht 
werden, dass die rechtsverbindliche 
Klärung der Frage, welche Datenverar- 
beitungen im Beschäftigungsverhältnis 
für welche spezifischen Zwecke und un- 
ter welchen Voraussetzungen erforder- 
lich sind, nicht mehr nur Gegenstand 
der Einzelfallkasuistik der Arbeitsge- 
richtsbarkeit ist. 


IV. Leitgedanken einer spezifischen 
Regelung des Beschäftigtendaten- 
schutzes 


Die Anpassung und zukunftsfähige 
Weiterentwicklung des bestehenden 


229 


Beschäftigtendatenschutzrechts durch 
den Gesetzgeber an die Veränderungen 
der Arbeitswelt sollten sich in Ausfül- 
lung seines verfassungs- und europa- 
rechtlichen Handlungsrahmens nach 
Auffassung des Beirats an folgenden 
Leitgedanken orientieren: 
verhältnismäßiger Ausgleich der bei- 
derseitigen Grundrechte unter be- 
sonderer Beachtung des Schutzes der 
Menschenwürde der Beschäftigten, 
wirksamer Grundrechtsschutz und 
Rechtssicherheit für alle Beteiligten, 
Technologieneutralität und Techni- 
koffenheit der Regelungen aufgrund 
der Dynamik der technischen Verän- 
derungen, 

Transparenz für die betroffenen Be- 
schäftigten und die Betriebsräte über 
die vom Arbeitgeber im Zusammen- 
hang mit der Verarbeitung von Be- 
schäftigtendaten verwendeten Ein- 
richtungen und Programme, 
Gewährleistung einer wirksamen 
Rechtsdurchsetzung, 

auch bei der Weiterentwicklung des 
Beschäftigtendatenschutzrechts Be- 
achtung der Verhältnismäßigkeit aller 
Maßnahmen .nachRisikoabschätzung. 
Für neue Beschäftigungsformen, die 
im Zuge der digitalen Transformation 
der Arbeitswelt entstehen, empfiehlt 
derBeiratim Rahmen der durch Art. 88 
DSGVO eröffneten Möglichkeit einer 
Spezifizierung des Beschäftigtenda- 
tenschutzes europarechtskonforme 
Nachjustierungen vorzunehmen. 


V. Instrumente für die Weiterent- 
wicklung des Beschäftigtendaten- 
schutzrechts 


Die zentralen Elemente eines wirksa- 
men und rechtssicheren Beschäftigten- 
datenschutzes bedürfen der gesetzli- 
chen Festlegung. Soweit die bereits vor- 
handenen Regelungen in der gegenwär- 
tigen Fassung des $ 26 BDSG aufgrund 
ihrer Interpretationsbedürftigkeit zum 
Schutz vor eingriffsintensiven Daten- 
verarbeitungen in der digitalisierten 
Arbeitswelt nicht ausreichen, sind aus- 
gewogene konkretisierende gesetzliche 
Regelungen für alle Beteiligten geboten. 
Daneben können untergesetzliche Re- 
gelungen wie Rechtsverordnungen und 
Kollektivverträge, aber auch neuartige 
Instrumente einen integralen Bestand- 
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teil eines wirksamen und rechtssicheren 
Beschäftigtendatenschutzes bilden. Als 
weitere spezifisch datenschutzrechtli- 
che Instrumente sind die Erarbeitung 
von Verhaltensregeln (Codes of Con- 
duct) im Sinne der Art. 40 f. DSGVO oder 
die Zertifizierung nach Art. 42 f. DSGVO 
empfehlenswert. 

Bei der Fortentwicklung des Beschäf- 
tigtendatenschutzes sollten somit alle 
dem Staat und den privaten Akteuren 
zur Verfügung stehenden Instrumente 
einschließlich der Selbstregulierung in 
den Blick genommen werden: 

« Wesentlich ist das Instrument einer 
gesetzlichen Regelung als ureigene 
Handlungsoption des Staates. Hier- 
durch kann die Grenzziehung zwi- 
schen rechtlich zulässigen und recht- 
lich unzulässigen Datenverarbeitun- 
gen für alle Beteiligten erkennbar 
verbindlich festgelegt werden. 

Untergesetzliche Instrumente kön- 
nen - auf der Grundlage angemes- 
sener gesetzlicher Ermächtigungen 
- dazu beitragen der für die Praxis 
wichtigen Grenzziehung zwischen 
dem rechtlich Zulässigen und Unzu- 
lässigen im konkreten Einzelfall deut- 
lichere Konturen zu verleihen. 


VI. Materielle und prozedurale Ele- 
mente zur Konkretisierung des gel- 
tenden Rechts 


Zur Rechtfertigung der Verarbeitung 
von Beschäftigtendaten stehen gesetz- 
liche Erlaubnistatbestände, die Einwil- 
ligung und Kollektivvereinbarungen zur 
Verfügung. 


1. Konkretisierung der Erforder- 
lichkeit bei gesetzlicher Verarbei- 
tungserlaubnis 


Im Hinblick auf diejenigen Rechts- 
grundlagen aus der DSGVO und dem 
BDSG, die an das Merkmal der Erforder- 
lichkeit anknüpfen, erachtet der Beirat 
Konkretisierungen des Schutzes der 
Persönlichkeitsrechte der Beschäftigten 
sowohl durch materiellrechtliche Grenz- 
ziehungen als auch durch prozedurale 
Elemente für sinnvoll. 

Zum Datenerhebungsrecht („Frage- 
recht”) des Arbeitgebers in der Bewer- 
bungsphase hat sich über Jahrzehnte 
hinweg eine reichhaltige Einzelfallka- 


suistik, auch zu Einstellungstests und 
Einstellungsuntersuchungen, heraus- 
gebildet. Um ein möglichst hohes Maß 
an Wirksamkeit und Rechtssicherheit 
sowie an Einheitlichkeit im Beschäftig- 
tendatenschutz zu erreichen, empfiehlt 
der Beirat relevante und typisierbare 
Fallkonstellationen in Gesetzesrecht zu 
überführen, sofern dies angesichts der 
Vielgestaltigkeit und Dynamik der Fall- 
praxis sachgerecht ist. 

Soweit es um die Durchführung des 
Beschäftigungsverhältnisses geht, 
ist es für den Gesetzgeber zwar nicht 
leistbar jede denkbare Fallkonstellati- 
on in einen konkreten Tatbestand zu 
fassen. Dennoch sollten - wo möglich 
und angemessen - die wesentlichen 
Interessenabwägungen im Rahmen 
von neu zu schaffenden, spezifischen 
und normenklaren Vorschriften durch 
den Gesetzgeber selbst vorgenommen 
werden. Daneben empfiehlt der Beirat 
die gesetzliche Verankerung von ins- 
besondere an Art. 5 DSGVO orientierten 
Parametern für die Prüfung der Erfor- 
derlichkeit, die vor allem die Art, den 
Umfang, die Intensität und die Um- 
stände der Verarbeitung von Beschäf- 
tigtendaten berücksichtigen. 

Des Weiteren muss sich der Leitgedan- 
ke der Transparenz von Kontroll- und 
Überwachungsmaßnahmen grundsätz- 
lich auch im Kontext der Verhinderung 
und Aufdeckung von Straftaten bewäh- 
ren. Die Mehrheit des Beirats ist der 
Auffassung, dass verdeckte Maßnah- 
men höchstens in Ausnahmefällen als 
ultima ratio zur Aufdeckung von Straf- 
taten, nicht aber zur Aufklärung von 
sonstigen schweren Pflichtverletzungen 
grundsätzlich möglich sein sollten. Eine 
Minderheit des Beirats sieht verdeckte 
Maßnahmen in Ausnahmefällen als ul- 
tima ratio auch zur Verhinderung und 
Aufdeckung von schweren Pflichtverlet- 
zungen als zulässig an. Eine andere Min- 
derheit lehnt verdeckte Maßnahmen 
ausnahmslos ab. Der Beirat empfiehlt in 
jedem Fall eine gesetzliche Klarstellung. 

Erfolgen verdeckte Maßnahmen, 
muss die Kontrolle der Rechtmäßigkeit 
ex ante durch eine Einbeziehung von 
betrieblichen oder außerbetrieblichen 
Akteuren sichergestellt sein. Weiterhin 
müssen ex post die Transparenz des Ver- 
fahrens und die Information der Betrof- 
fenen gewährleistet sein. 
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Im Hinblick auf den Sonderfall des 
anlasslosen Abgleichs von Beschäftig- 
tendaten mit Terrorismus- und Sankti- 
onslisten hält die Mehrheit des Beirats 
einen solchen Abgleich allenfalls bei 
Schaffung einer spezifischen Rechts- 
grundlage für zulässig. Eine Minderheit 
des Beirats hält die bestehenden recht- 
lichen Regelungen für die Legitimation 
derartiger Abgleiche dagegen für aus- 
reichend. 


2. Anforderungen an die Einwilli- 
gung als Ausdruck der Datensou- 
veränität im Beschäftigungsver- 
hältnis 


Die Einwilligung ist Ausdruck des 
Rechts aufinformationelle Selbstbestim- 
mung. Insoweit gehört es zur Datensou- 
veränität eines jeden Einzelnen frei und 
selbstbestimmt über die eigenen Daten 
verfügen zu können. Unter welchen Vor- 
aussetzungen die Einwilligung eine wirk- 
same Rechtsgrundlage darstellen kann, 
istin der DSGVO geregelt. 

Die Einwilligung steht nach der DS- 
GVO grundsätzlich gleichrangig neben 
anderen Erlaubnistatbeständen. Dabei 
ist die Freiwilligkeit der Einwilligung 
von zentraler Bedeutung. Wegen des im 
Beschäftigungsverhältnis grundsätzlich 
bestehenden Über-/Unterordnungs- 
verhältnisses kann nach Ansicht der 
Mehrheit des Beirats von einer solchen 
Freiwilligkeit regelmäßig nur beim Vor- 
liegen besonderer Umstände ausgegan- 
gen werden. Dies ist zum Beispiel der 
Fall, wenn die Beschäftigten mit der 
Einwilligung eigene Interessen oder im 
Verhältnis zum Arbeitgeber gleichgela- 
gerte Interessen verfolgen. 

Im Bewerbungsverfahren kann von 
einer Freiwilligkeit der Einwilligung der 
Bewerberinnen und Bewerber regel- 
mäßig nicht ausgegangen werden. In 
dieser Situation bietet es sich an diein 
& 26 Abs. 2 Satz 1 BDSG bereits enthal- 
tenen Regelungen zur Freiwilligkeit der 
Einwilligung zu ergänzen, um hierdurch 
mehr Rechtssicherheit zu schaffen. So 
sollten Regelbeispiele der Zulässigkeit 
bzw. der Unzulässigkeit einer Einwilli- 
gung sowohl für das Bewerbungsverfah- 
ren als auch für das Beschäftigungsver- 
hältnis formuliert werden, um für beide 
Seiten die Rechtssicherheit zu erhöhen. 
Darüber hinaus bietet es sich nach An- 
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sicht der Mehrheit des Beirats in Ergän- 
zung des bestehenden Rechts an zu ver- 
deutlichen, dass die Erreichung eines 
wirtschaftlichen Vorteils grundsätzlich 
nicht zu einem „Abkaufen” der Einwil- 
ligung führen darf, damit Beschäftig- 
tendaten nicht zu einer erwerblichen 
„Ware“ werden. 


3. Bedingungen für Betriebsver- 
einbarungen als sachnahes Rege- 
lungsinstrument 


Um das Ziel eines fairen Ausgleichs 
der Interessen zu erreichen, können 
die Betriebsparteien aktiv die beschäf- 
tigtendatenbezogenen Handlungsfel- 
der adressieren und zu diesem Zweck 
Betriebsvereinbarungen abschließen. 
Die Mehrheit des Beirats ist der Auffas- 
sung, dass der verstärkte Einsatz von 
Betriebsvereinbarungen allerdings nur 
dann zu einem wirksameren Beschäf- 
tigtendatenschutz führen kann, wenn 
die Betriebsräte durch flankierende 
Regelungen im Betriebsverfassungsge- 
setz besser dazu befähigt werden ihrer 
Aufgabe gerecht zu werden die Persön- 
lichkeitsrechte der Beschäftigten zu 
schützen. Eine Minderheit des Beirats 
befürwortet demgegenüber einen stär- 
keren Einsatz von Betriebsvereinbarun- 
gen generell als sachnahes Regelungs- 
instrument und setzt hierfür auch auf 
Anreize für die Arbeitgeberseite. 


4. Datenschutzrechtliche Anforde- 

rungen an den Einsatz Künstlicher 
Intelligenz im Beschäftigungsver- 

hältnis 


Künstliche Intelligenz ist die nächste 
Stufe einer durch den technologischen 
Fortschritt getriebenen Digitalisierung 
und verdient deshalb eine eigenständi- 
ge Betrachtung. Dabei versteht der Bei- 
rat unter Künstlicher Intelligenz nicht 
nur selbstlernende Systeme, sondern 
auch solche algorithmischen Systeme, 
deren Funktion und Wirkung aufgrund 
ihrer hohen Komplexität allenfalls für 
Expertinnen und Experten nachvoll- 
ziehbar sind. 

Der Beirat empfiehlt nachdrücklich 
den Einsatz von Künstlicher Intelligenz 
im Beschäftigtenkontext gesetzlich zu 
regeln. Hierbei sollte sich der Gesetzge- 
ber an den sieben datenschutzrechtli- 


chen Anforderungen an den KI-Einsatz, 
die die Hambacher Erklärung der Daten- 
schutzkonferenz (DSK) formuliert hat, 
als wichtige Anregungen auch für die 
Regelung des Einsatzes von Künstlicher 
Intelligenz in Beschäftigungsverhält- 
nissen orientieren. Darüber hinaus ist 
die Rechtsentwicklung auf der europä- 
ischen Ebene im Auge zu behalten. 


VII. Spezifische Rechte der Betroffe- 
nen im Beschäftigungskontext 


1. Konkretisierung der Betroffe- 
nenrechte 


Rechtsstreitigkeiten vor den Gerich- 
ten und Diskussionen in der Literatur 
zeigen, dass im Hinblick auf die Rech- 
te der betroffenen Personen bzw. die 
Pflichten des Verantwortlichen nach der 
DSGVO erhebliche Unsicherheiten und 
Unklarheiten bestehen. Die Umsetzung 
der Betroffenenrechte sollte im Kontext 
spezifischer Rechtsgrundlagen für typi- 
sche Verarbeitungssituationen im Be- 
schäftigtenverhältnis konkretisiert wer- 
den. Dabei ist der Auskunftsanspruch 
eines Beschäftigten als ein wesentliches 
Mittel zur Herstellung von Transparenz 
anzusehen, soweit er nicht sachfremd 
geltend gemacht wird. 


2. Regelung von Sachvortrags- und 
Beweisverwertungsverboten 


Die gesetzliche Normierung eines 
Verwertungsverbots für rechtswidrig 
verarbeitete Beschäftigtendaten in ge- 
richtlichen Verfahren wurde im Beirat 
insbesondere vor dem Hintergrund der 
Prozessgrundrechte kontrovers disku- 
tiert. Nach Auffassung der Mehrheit der 
Beiratsmitglieder sollte der Beschäftig- 
tendatenschutz in Betrieben mit Be- 
triebsrat dadurch effektiviert werden, 
dass den Betriebsparteien ausdrücklich 
die Möglichkeit eröffnet wird wirksame 
Verwertungsverbote in Betriebsverein- 
barungen aufzunehmen. Ergänzend 
spricht sich die Mehrheit des Beirats im 
Hinblick auf den Beschäftigtendaten- 
schutz für die gesetzliche Normierung 
eines Sachvortrags- und Beweisverwer- 
tungsverbots unter Nennung der Krite- 
rien für eine gerichtliche Prüfung aus. 
Eine Minderheit des Beirats lehnt solche 
Regelungen als einen nicht sachgerech- 
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ten Eingriff in die freie richterliche Be- 
weiswürdigung ab. 


VIII. Ergänzende Regelungen im Be- 
triebsverfassungsrecht im Interesse 
des Beschäftigtendatenschutzes 


Betriebsräte spielen beim Beschäftig- 
tendatenschutz eine zentrale Rolle: Sie 
haben die betriebsverfassungsrechtli- 
che Aufgabe die Rechte und damit auch 
die Persönlichkeitsrechte der Beschäf- 
tigten zu schützen und zu fördern. Um 
dieser Aufgabe auch bei der fortschrei- 
tenden Digitalisierung der Arbeitswelt 
nachkommen zu können, bedarf es 
nach Auffassung der Mehrheit der Bei- 
ratsmitglieder ergänzender Regelungen 
im Betriebsverfassungsgesetz, wie zum 
Beispiel der Erweiterung der Mitbestim- 
mungsrechte, bezogen auf den Beschäf- 
tigtendatenschutz, und der Erleichte- 
rung der Hinzuziehung von externen 
Sachverständigen. Eine Minderheit des 
Beirats lehnt demgegenüber eine Er- 
weiterung von Mitbestimmungsrechten 
und insbesondere auch die Erstreckung 
der Mitbestimmung auf die Bestellung 
von Datenschutzbeauftragten als sys- 
temfremd und den Zielen des Daten- 
schutzes hinderlich ab. 


IX. Verbesserung der Rechtsdurch- 
setzung 


Die Mehrheit des Beirats spricht sich 
für die Notwendigkeit einer Verstärkung 
der Möglichkeit zur Rechtsdurchset- 
zung aus und plädiert daher für eine ver- 
besserte Rechtsstellung von Betriebs- 
räten und Gewerkschaften im Rahmen 
des gerichtlichen Rechtsschutzes. Eine 
Minderheit des Beirats sieht hierfür da- 
gegen keinen Regelungsbedarf. 

Im Übrigen empfiehlt der Beirat ein- 
stimmig eine Stärkung der Durchset- 
zungsbefugnisse der Aufsichtsbehörden 
und der Unabhängigkeit der betriebli- 
chen Datenschutzbeauftragten. 


X. Datenschutzaufsichtsbehörden 
als Garanten eines wirksamen und 
rechtssicheren Beschäftigtendaten- 
schutzes 


Der Beirat ist der Auffassung, dass die 


Überwachung durch die Datenschutz- 
aufsichtsbehörden wesentlich zu einem 
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wirksamen und rechtssicheren Beschäf- 
tigtendatenschutz beiträgt. 

Damit Verstöße gegen den Beschäf- 
tigtendatenschutz möglichst von vorn- 
herein vermieden bzw. frühzeitig auf- 
gedeckt werden können, empfiehlt der 
Beirat die personelle Verstärkung der 
Aufsichtsbehörden. Diese Verstärkung 
soll es den Aufsichtsbehörden erleich- 
tern auch eine ergänzende und unter- 
stützende Beratung zu übernehmen. 


XI. Errichtung einer Beschäftigten- 
datenschutzkommission und eines 
ständigen Sekretariats des AK Be- 

schäftigtendatenschutz bei der DSK 


Als Ergänzung zu einem eigenstän- 
digen Beschäftigtendatenschutzgesetz 
schlägt der Beirat die Schaffung von 
zwei neuen Gremien vor, die die fortlau- 
fenden technischen und sonstigen re- 
levanten Entwicklungen im Bereich des 
Beschäftigtendatenschutzes begleiten 
und abstrakte Regelungen für die Praxis 
konkretisieren sollen: 

« eine ständige Beschäftigtendaten- 
schutzkommission beim BMAS und 
ein ständiges Sekretariat des Arbeits- 
kreises Beschäftigtendatenschutz der 
Konferenz der unabhängigen Daten- 
schutzaufsichtsbehörden des Bundes 
und der Länder (Datenschutzkonfe- 
renz). 


Die Beteiligung der Sozialpartner und 
die Unabhängigkeit der Datenschutz- 
aufsichtsbehörden ist hierbei sicherzu- 
stellen. 

Zu den Aufgaben dieser Gremien kann 
neben der Beratung des Gesetz- und Ver- 
ordnungsgebers auch gehören sonstige 
Instrumente in den Blick zu nehmen, 
beispielsweise die Unterstützung von 
Best-Practice-Ansätzen, Veröffentli- 
chung von Musterdokumenten, Selbst- 
audits zur regelmäßigen Bestandsauf- 
nahme des Datenschutzniveaus und 
in Bezug auf Verarbeitungssysteme im 
Beschäftigungskontext die Bereitstel- 
lung von Prüfkriterien für die Auswahl 
und für einen datenschutzkonformen 
Einsatz sowie Hilfestellungen für ihre 
Entwicklung nach dem Grundsatz des 
Datenschutzes durch Technikgestal- 
tung und durch datenschutzfreundliche 
Voreinstellungen (Art. 25 DSGVO). Da- 
bei sind diebesonderen Bedürfnisse von 


kleinen und mittleren Unternehmen zu 
berücksichtigen. 


XII. Empfehlungen für Unternehmen 
ohne Betriebsrat und für neue Be- 
schäftigungsformen 


Der Beirat empfiehlt zur wirksamen 
Umsetzung und Durchsetzung des Be- 
schäftigtendatenschutzes in Betrieben 
ohne Betriebsrat Handlungsempfehlun- 
gen für die datenschutzrechtlich Verant- 
wortlichen zu erstellen, beispielsweise 
durch die zu schaffende Beschäftigten- 
datenschutzkommission beim BMAS. 

Mit Blick auf datenbasierte Geschäfts- 
modelle und neue Beschäftigungsfor- 
men, etwa in der Plattformökonomie, 
ist der Gesetzgeber aufgerufen spezifi- 
sche Regelungen zum Beschäftigtenda- 
tenschutz für diese Bereiche zu schaffen 
und für deren Umsetzung zu sorgen. 


Der o.g. Beiratsbericht ist im Internet 
herunterladbar unter: 
https://www.bmas.de/SharedDocs/ 
Downloads/DE/Arbeitsrecht/ergebnisse- 
beirat-beschaeftigtendatenschutz.pdf 


Mitglieder des Beirats 

(Stand: 17. Januar 2022): 

Prof. Dr. Herta Däubler-Gmelin (Vor- 
sitzende) Rechtsanwältin, Bundesjus- 
tizministerin a.D. 

Prof. Dr. Anne Riechert Professorin für 
Datenschutzrecht und Recht in der In- 
formationsverarbeitung an der Frank- 
furt University of Applied Sciences; 
Wissenschaftliche Leiterin der Stiftung 
Datenschutz 

Dir. u. Prof. Dr. Beate Beermann Vize- 
präsidentin der Bundesanstalt für Ar- 
beitsschutz und Arbeitsmedizin 
Benedikt Rüdesheim, LL. M. Rechtsan- 
walt bei dka Rechtsanwälte, Fachanwalt 
für Arbeitsrecht 

Marit Hansen Landesbeauftragte für 
Datenschutz Schleswig-Holstein, Dip- 
lom-Informatikerin 

Prof. Dr. Judith Simon Professorin für 
Ethik in der Informationstechnologie 
an der Universität Hamburg 

Prof. Ulrich Kelber Bundesbeauftrag- 
ter für den Datenschutz und die Infor- 
mationsfreiheit 

Prof. Dr. Prof. h.c. Jürgen Taeger 
Rechtsanwalt, Of Counsel bei DLA Piper 
LLP; zuvor Professor für Bürgerliches 
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Recht, Handels- und Wirtschafts- sowie 
Rechtsinformatik an der Carl von Os- 
sietzky Universität Oldenburg 

Thomas Koczelnik Ehemaliger Vor- 
sitzender des Konzernbetriebsrats der 
Deutschen Post DHL Group 

Prof. Dr. Peter Wedde Professor für Ar- 
beitsrecht und Recht der Informations- 


Hajo Köppen* 


gesellschaft an der Frankfurt University 
of Applied Sciences; Wissenschaftlicher 
Leiter der d+a consulting GbR in Wies- 
baden 

Prof. Dr. Rüdiger Krause Inhaber des 
Lehrstuhls für Bürgerliches Recht und 
Arbeitsrecht an der Georg-August-Uni- 
versität Göttingen 


1 Thesen und Empfehlungen, die Betriebs- 
räte betreffen, gelten entsprechend für 
Personalräte, Mitarbeitervertretungen 
und Sprecherausschüsse. 


Datenschutz-Tätigkeitsberichte - eine Fundgrube auch für 
Beschäftigtenvertretungen 


Datenschutzvorschriften sind für juris- 
tische Laien meist schwer durchschaubar. 
Hilfe im Paragrafendschungel des Daten- 
schutzrechts bieten die Tätigkeitsberichte 
der staatlichen Datenschützer - beson- 
ders wenn es um die praktische, auch 
technische Umsetzung geht. Für Betriebs- 
und Personalräte bieten die Berichte inte- 
ressanten Lesestoff und praxisbezogene 
Beispiele zum Beschäftigtendatenschutz 
in Unternehmen und Behörden. 


1972 erster Tätigkeitsbericht des Lan- 
desdatenschutzbeauftragten in Hessen 


„Bis zum 31. März jeden Jahres, erst- 
mals zum 31. März 1972, hat der Daten- 
schutzbeauftragte dem Landtag und 
dem Ministerpräsidenten einen Bericht 
über das Ergebnis seiner Tätigkeit vor- 
zulegen.” Mit diesem Auftrag im ersten 
Datenschutzgesetz der Welt, dem Hessi- 
schen Datenschutzgesetz von 1970, wur- 
de die Tradition der Tätigkeitsberichte 
der Datenschutzbeauftragten begrün- 
det. Diese Berichtspflicht giltinzwischen 
für alle staatlichen Datenschutzwächter 
- den Bundes- und die Landesdaten- 
schutzbeauftragten - die seit dem ersten 
Bericht in Hessen über 600 Tätigkeitsbe- 
richte veröffentlicht haben. Die Berichte 
beschreiben eine Vielzahl in der behörd- 
lichen und betrieblichen Praxis auftre- 
tende Datenschutzprobleme und bieten 
an Hand von Praxisbeispielen rechtliche 
Hinweise genauso an wie hilfreiche Tipps 
für die konkrete Umsetzung des Daten- 
schutzes. 
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Seit dem 25. Mai 2018 gilt die Euro- 
päische Datenschutz-Grundverordnung 
(DSGVO). Gem. Art. 59 DSGVO (Tätig- 
keitsbericht) hat jede Aufsichtsbehörde 
einen Jahresbericht über ihre Tätigkeit 
zu erstellen, der auch eine Liste der 
Arten der gemeldeten Verstöße und 
der Arten der getroffenen Maßnahmen 
nach Art. 58 Abs. 2 DSGVO (Befugnis- 
se der Aufsichtsbehörden) enthalten 
kann. Die Tätigkeitsberichte müssen 
dem nationalen Parlament, der Regie- 
rung und anderen nach dem Recht der 
Mitgliedstaaten bestimmten Behörden 
übermittelt werden. Sie müssen ferner 
der Öffentlichkeit zugänglich gemacht 
werden. 

Diesem Auftrag folgend werden von 
den 16 Landesdatenschutzbeauftrag- 
ten, dem Bayerischen Landesamt für 
Datenschutzaufsicht (BayLDA) und dem 
Bundesdatenschutzbeauftragten jedes 
Jahr insgesamt 18 Tätigkeitsberichte 
veröffentlicht. 


Recherchehilfe zaftda.de 


18 Tätigkeitsberichte mit insgesamt 
einigen hundert Seiten jährlich; das 
spricht für eine zeitintensive Recher- 
che. Abhilfe und Zeitersparnis bietet 
das von der Stiftung Datenschutz an- 
gebotene digitale „Zentralarchiv für 
Tätigkeitsberichte der Bundes- und der 
Landesdatenschutzbeauftragten sowie 
der Aufsichtsbehörden für den Daten- 
schutz”, kurz ZAfTDa. Unter zaftda.de 
sind die seit 1971 veröffentlichten Tä- 


tigkeitsberichte der deutschen Auf- 
sichtsbehörden für den Datenschutz 
abrufbar. Auch sind die Jahresberichte 
des Europäischen Datenschutzbeauf- 
tragten (aktuell 18), des Europäischen 
Datenschutzausschusses (4) und der 
Artikel 29-Gruppe (16 Berichte bis 
2012) archiviert. Ferner sind Berich- 
te der Datenschutzbeauftragten der 
Rundfunkanstalten sowie der katho- 
lischen und evangelischen Kirche ar- 
chiviert. In der Rubrik „Neuer TB” wird 
auf neu erschienene Tätigkeitsberich- 
te hingewiesen, sodass Interessierten 
eine zeitintensive Recherche in den 
vielen Internetangeboten der Daten- 
schutzbehörden nach aktuellen Neuer- 
scheinungen erspart bleibt. 

Eine zusätzliche Recherchehilfe bie- 
tet die Stiftung Datenschutz mit einem 
speziellen E-Mail-Service an. Ist ein 
neuer Tätigkeitsbericht beim ZAfTDa 
abrufbar, werden die Nutzer:innen des 
Service via E-Mail benachrichtigt. Für 
die Anmeldung zu diesem Infoservice 
reicht eine formlose E-Mail an zaftda- 
news@stiftungdatenschutz.org aus. 


Beschäftigtendatenschutz in der 
Praxis 


Gemäß den Vorgaben des Betriebs- 
verfassungsgesetzes und der Landes- 
personalvertretungsgesetze haben sich 
Betriebs- und Personalräte darum zu 
kümmern, dass die zugunsten der Ar- 
beitnehmer geltenden Gesetze und Ver- 
ordnungen durchgeführt werden. Dazu 
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zählt der Beschäftigtendatenschutz. Da- 
raus ergibt sich die Verpflichtung für Be- 
triebs- und Personalräte die Umsetzung 
des Datenschutzes bei der Betriebs- und 
Personalratsarbeit und im Betriebs- und 
Personalratsbüro sicherzustellen. In der 
Praxis sind diese gesetzlichen Aufträge 
nicht immer einfach umzusetzen. Die 
Tätigkeitsberichte können da eine Hilfe 
bieten, indem sie über eine Vielzahl von 
Fallgestaltungen zum Beschäftigtenda- 
tenschutz informieren. 

Folgend einige Beispiele aus den Be- 
richten zum Thema Beschäftigtenda- 
tenschutz. 


Betriebliche WhatsApp-Nutzung - 
Finger weg! 


Die Kommunikation mit dem Whats- 
App-Messenger im privaten Bereich 
ist für viele so selbstverständlich, dass 
sie diesen Kommunikationskanal wie 
selbstverständlich auch in der betrieb- 
lichen Praxis verwenden. In den Tä- 
tigkeitsberichten werden immer neue 
Varianten der betrieblichen WhatsApp- 
Nutzung beschrieben und datenschutz- 
rechtlich bewertet. 

So berichtet die frühere Berliner Be- 
auftragte für Datenschutz und Infor- 
mationsfreiheit (BlnBDI), Maja Smolt- 
czyk, in ihrem Bericht für das Jahr 2019 
(Seite 123) über einen Berliner Arbeitge- 
ber, der die fristlose Kündigung eines Ar- 
beitsverhältnisses über einen WhatsApp- 
Gruppen-Chat des Unternehmens, der 
eigentlich zur Koordination genutzt wur- 
de, allen Beschäftigten bekannt machte. 
Dazu versendete er eine Fotografie des 
Kündigungsschreibens, dem auch zu 
entnehmen war, dass dem Gekündigten 
ein Darlehen für den Ausgleich privater 
Zahlungsverpflichtungen vom Unterneh- 
men gewährt worden war. 

Der Berliner Datenschutzbeauftrag- 
ten gefiel dieses Vorgehen nicht. Zwar 
erlaubt der 8 26 BDSG die Verarbeitung 
von Beschäftigtendaten, wenn dies 
für Durchführung und Beendigung 
des Beschäftigungsverhältnisses er- 
forderlich ist. Die Weiterleitung eines 
Kündigungsschreibens an eine firmen- 
interne WhatsApp-Gruppe könne aber 
kaum erforderlich sein und sei daher 
regelmäßig rechtswidrig. Die Einschät- 
zung der Datenschutzbeauftragten geht 
weiter: „Im Übrigen ist der Einsatz von 
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WhatsApp im Beschäftigungsverhält- 
nis auch für Koordinierungszwecke im 
Unternehmen mit Vorgaben zum Be- 
schäftigtendatenschutz, wie z.B. zur 
Speicherbegrenzung und zur Integrität 
und Vertraulichkeit kaum vereinbar und 
war hier unverzüglich abzustellen. (...) 
Der Einsatz von WhatsApp im Beschäf- 
tigungsverhältnis birgt erhebliche Ri- 
siken für das Persönlichkeitsrecht der 
Beschäftigten und ist daher regelmäßig 
unzulässig.” 

Über einen besonderen Fall berichte- 
te die Landesbeauftragte für Daten- 
schutz und Informationsfreiheit in 
NRW in ihrem Bericht für 2019 (Seite 
51). Praktisch, dachte sich wohl ein 
Arbeitgeber, was man mit WhatsApp 
so alles machen kann. Er forderte die 
Beschäftigten seines Unternehmens 
schriftlich dazu auf Krankmeldungen 
nebst Belegen mit dem amerikanischen 
Instant-Messaging-Dienst an die Per- 
sonalabteilung zu schicken. Nach einer 
Beschwerde prüfte die Datenschutzbe- 
hörde das Unternehmen und erhielt vom 
Arbeitgeber die Mitteilung, dass es sich 
dabei um ein zusätzliches Angebot an 
die Beschäftigten handle und überdies 
die Datenübermittlung wegen einer En- 
de-zu-Ende-Verschlüsselung sicher sei. 
Dem wollte sich die NRW-Datenschutz- 
aufsicht nicht anschließen, weil mit der 
Nutzung von WhatsApp erhebliche Risi- 
ken durch die Möglichkeit des Datenzu- 
griffs durch Unbefugte wie zum Beispiel 
durch Facebook verbunden sind. Face- 
book kann, und das gilt auch bei einer 
Ende-zu-Ende-Verschlüsselung, „auf 
die Verkehrsdaten (Wer kommuniziert 
wann mit wem?) und auf die Bestands- 
daten (Wer ist für den Dienst angemel- 
det?) der Nachrichten zugreifen. Zudem 
liest die App das Adressbuch auf dem 
Gerät des Nutzers aus und gleicht die 
Daten mit den bei WhatsApp gespeicher- 
ten Daten ab, unabhängig davon, ob die 
Nutzer, auf die sich die Daten beziehen, 
davon wissen oder dies wollen.” 

Da der Arbeitgeber keinen Einfluss 
auf die Datenverarbeitungsvorgänge bei 
WhatsApp oder Facebook habe, stün- 
den ihm die erforderlichen technisch- 
organisatorischen Mittel für einen ef- 
fektiven Schutz der Beschäftigtendaten 
nicht zur Verfügung. Bei einer Nutzung 
von WhatsApp verstoße er daher auch 
gegen die Grundsätze der Datensicher- 


heit, wie sie gemäß Art. 32 und 5 Abs. 1f 
der DSGVO umzusetzen sind. Ein weite- 
res Risiko bestehe auch darin, dass die 
Endgeräte sowohl des Arbeitsgebers als 
auch der Beschäftigten häufig nicht 
hinreichend abgesichert seien. 


Versendung eines Sozialplans an 
Beschäftigte 


Die Erstellung eines Sozialplans ist 
für Betriebsrat und Arbeitgeber keine 
leichte Sache, insbesondere, wenn er 
betriebsbedingte Kündigungen von Be- 
schäftigten regelt. Aber auch bei dem 
Umgang mit einem Sozialplan ist der 
Datenschutz zu beachten. Über einen 
nicht datenschutzkonformen Umgang 
mit einem Sozialplan berichtet die Bre- 
mer Landesbeauftragte für Daten- 
schutz und Informationsfreiheit, Dr. 
Imke Sommer, in ihrem Tätigkeitsbe- 
richt für das Jahr 2021 (Seite 52). Ei- 
nem Hersteller von Computer-Hard- und 
-Software geriet der Datenschutz aus 
dem Blick; er verschickte im Rahmen 
einer betriebsbedingten Kündigung ei- 
nen Sozialplan an die Beschäftigten, der 
unter anderem neben einer Namensliste 
Angaben zu Familienstand, Unterhalts- 
pflichten, Geburtsdatum, Beschäfti- 
gungsdauer, Betriebsratszugehörigkeit 
und Schwerbehinderung der betroffe- 
nen Beschäftigten enthielt. Nach einem 
Hinweis der Datenschutzbehörde an das 
Unternehmen, dass ein solches Vorge- 
hen datenschutzrechtlich unzulässig 
ist, wurde ein erneutes Anschreiben 
an die Beschäftigten verschickt. Die- 
sem war die entsprechende Liste erneut 
beigefügt, die Namen waren jedoch 
geschwärzt worden. Das Unternehmen 
meinte, damit seien die Daten anonymi- 
siert. Die Datenschutzbehörde sah darin 
aber lediglich eine Pseudonymisierung, 
da aufgrund der übrigen Daten weiter- 
hin Rückschlüsse auf die betroffenen 
Personen möglich waren. Nach einem 
erneuten Hinweis der Aufsichtsbehörde 
auf die datenschutzrechtliche Unzuläs- 
sigkeit auch dieser Versendung des So- 
zialplanes teilte das Unternehmen mit, 
„dass die Beschäftigten zur Vernichtung 
der fälschlicherweise erhaltenen Daten 
aufgefordert worden seien. Darüber hin- 
aus seien Sensibilisierungsmaßnahmen 
durchgeführt und eine Anpassung der 
Arbeitsabläufe initiiert worden, um der- 
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artige Datenschutzverstöße zukünftig 
zu vermeiden”. 


Umgang mit Arbeitsunfähigkeitsbe- 
scheinigungen 


Der Betriebsrat eines großen Unter- 
nehmens in Thüringen wandte sich mit 
der Frage an den Thüringer Landes- 
beauftragten für den Datenschutz 
und die Informationsfreiheit, Dr. 
Lutz Hasse, wie lange der Arbeitgeber 
die krankheitsbedingten Fehltage der 
Beschäftigten aufbewahren dürfe bezie- 
hungsweise ob eine konkrete Speicher- 
dauer von fünf Jahren zu lang bemessen 
sei. Der Arbeitgeber wollte diese Daten 
offensichtlich nutzen, um einzelnen 
Beschäftigten das Arbeitsverhältnis aus 
krankheitsbedingten Gründen zu kün- 
digen (3. TB DSGVO, Seite 152). 

Da sich für privatwirtschaftliche Un- 
ternehmen, anders als in den Bundes- 
ländern für die Behörden, weder im 
Datenschutzgesetz noch im Entgeltfort- 
zahlungsgesetz hierzu eine Regelung 
findet, verwies der Datenschutzbeauf- 
tragte zunächst auf den Grundsatz der 
Speicherbegrenzung nach Art. 5 Abs. 1 
lit. e) DSGVO. 

Nach dieser Regelung sind Beschäf- 
tigtendaten zu löschen, wenn der Zweck 
der Datenverarbeitung wegfällt. Das 
gilt nicht, wenn spezifische gesetzli- 
che Aufbewahrungspflichten beste- 
hen. Was aber bedeutet „erforderlich“ 
hinsichtlich der Aufbewahrungs- und 
Speicherdauer von Arbeitsunfähig- 
keitsbescheinigungen und Zeiten der 
krankheitsbedingten Abwesenheit von 
Beschäftigten? 

Bei einer krankheitsbedingten Kün- 
digung ist der Arbeitgeber gegenüber 
den betroffenen Beschäftigten für das 
Vorliegen der Kündigungsgründe darle- 
gungs- und beweispflichtig: „Das heißt, 
der Arbeitgeber muss darlegen und be- 
weisen können, wie lange ein Arbeit- 
nehmer innerhalb eines gewissen Zeit- 
raumes vor Ausspruch der Kündigung 
krankheitsbedingt gefehlt hat und es 
müssen zum Zeitpunkt der Kündigung 
Tatsachen vorliegen, die eine Prognose 
weiterer Erkrankungen wie im bisheri- 
gen Umfang erwarten lassen (8 1 Abs. 2 
Satz 4 Kündigungsschutzgesetz).” 

Auch wenn sich eine schematische 
Festlegung des Referenzzeitraumes für 
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eine Negativprognose angesichts des 
breiten Spektrums möglicher Krank- 
heitsbilder verbietet, kommt der Daten- 
schützer bei seiner Abwägung zu dem 
Ergebnis, dass als Richtwert eine Zeit 
von mindestens zwei Jahren anerkannt 
werden müsse, um sicherzustellen, dass 
die Prognose ausreichend begründet 
werden kann. Unter Berufung auf die 
Rechtsprechung des Bundesarbeits- 
gerichts (Urteil vom 25. April 2018 - 
2 AZR 6/18) hält der Datenschutzbe- 
auftragte im Regelfall eine Speicherung 
der Krankheitszeiten von drei Jahren für 
ausreichend. Das BAG hat dazu ausge- 
führt: „Bei einer Kündigung wegen häu- 
figer Kurzerkrankungen, vorbehaltlich 
besonderer Umstände des Einzelfalls, 
ist für die Erstellung der Gesundheits- 
prognose ein Referenzzeitraum von 
drei Jahren vor Zugang der Kündigung 
maßgeblich. Ist eine Arbeitnehmerver- 
tretung gebildet, ist auf die letzten drei 
Jahre vor Einleitung des Beteiligungs- 
verfahrens abzustellen.” 

Eine darüberhinausgehende Spei- 
cherdauer von fünf Jahren hält der Thü- 
ringer Landesdatenschutzbeauftragte 
daher für zu lange. Eine Verlängerung 
der Dreijahresfrist seinur möglich, wenn 
der Arbeitgeber dies im Einzelfall beson- 
ders begründet und diese Begründung 
hinreichend dokumentiert. Vorsorglich 
wird noch darauf hingewiesen, dass 
Beschäftigte nicht verpflichtet sind, 
die Diagnose ihrer Erkrankung dem Ar- 
beitgeber mitzuteilen. Diese ergibt sich 
auch nicht aus der dem Arbeitgeber vor- 
zulegenden AU-Bescheinigung über das 
Bestehen der Arbeitsunfähigkeit nach 
& 5 Entgeltfortzahlungsgesetz. 


Datenpanne beim Personalrat 


Betriebs- und Personalräte haben in 
ihrem Verantwortungsbereich die Da- 
tenschutzbestimmungen umzusetzen 
und sicherzustellen. Dazu gehört auch 
die Umsetzung technischer und orga- 
nisatorischer Maßnahmen zum Schutz 
personenbezogener Beschäftigtenda- 
ten. Was dabei zu beachten ist, musste 
sich ein Personalrat einer bayerischen 
Gemeinde vom Bayerische Landesbe- 
auftragten für den Datenschutz, Prof. 
Dr. Thomas Petri, aus nicht gerade er- 
freulichem Anlass sagen lassen (30. TB, 
Seite 173). 


Ein Personalratsmitglied hatte nach 
einer Personalratssitzung seinen Ak- 
tenordner, der die Unterlagen für die 
Personalratssitzung enthielt, auf dem 
Rückweg in sein Büro verloren. Auch 
nach intensiver Suche blieb der Ordner 
verschollen. Nach der Erinnerung des 
Personalratsmitglieds konnte der Inhalt 
des Aktenordners mit dem Ergebnis re- 
konstruiert werden, dass im Hinblick 
auf den Datenschutz insgesamt über 30 
Personen vom Verlust der verlorenen 
Unterlagen betroffen waren. Eine Risi- 
koeinschätzung der Unterlagen ergab, 
dass der Verlust der Unterlagen für über 
zehn betroffene Personen voraussicht- 
lich ein hohes oder sehr hohes Risiko 
zur Folge haben könnte. Nachdem die 
Gemeinde die betroffenen Personen 
über den Verlust der Akte informiert 
hatte, reichte eine der betroffenen Per- 
sonen eine Beschwerde bei der Daten- 
schutzaufsichtsbehörde ein. 

Neben einer datenschutzrechtlichen 
Beanstandung der Gemeinde hielt die 
Aufsichtsbehörde fest, dass der Per- 
sonalrat auf die wirksame Umsetzung 
technischer und organisatorischer 
Schutzmaßnahmen achten muss. Dazu 
gibt sie folgende Hinweise: 

Risikoanalyse durchführen: Das Risi- 
ko, sensible Personalratsunterlagen zu 
verlieren, ist eines von mehreren Risi- 
koszenarien, das bei der entsprechend 
durchzuführenden datenschutzrechtli- 
chen Risikoanalyse zu betrachten ist. In 
aller Regel sind nach der Bewertung des 
Ausgangsrisikos geeignete Schutzmaß- 
nahmen wirksam umzusetzen, um die- 
ses Risiko auf ein vertretbares Niveau zu 
reduzieren. 

Transport vermeiden: Bestehende 
Potenziale, sensible Personalratsunter- 
lagen nicht unnötig zu transportieren, 
sind zu realisieren. Dabei können di- 
gitale Hilfsmittel, beispielsweise eine 
zentrale digitale Ablage mit geeignetem 
Zugriffsschutz und weiteren Sicher- 
heitsvorkehrungen, von Nutzen sein. 

Transport absichern: Sensible Perso- 
nalratsunterlagen, bei denen ein Trans- 
port unverzichtbar ist, müssen geeignet 
abgesichert transportiert werden. Je 
nach Risikolage ist etwa bei Papierun- 
terlagen auf verschlossene Sicherheits- 
transportbehälter und bei Digitalunter- 
lagen auf geeignete Verschlüsselung zu 
achten. 
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Konsequent löschen: Sobald Perso- 
nalratsunterlagen für den ursprüngli- 
chen Verarbeitungszweck nicht mehr 
notwendig sind sind diese zu löschen 
oder zu anonymisieren. 


GPS-Tracking im Beschäftigungsver- 
hältnis 


In zunehmendem Maße rüsten Un- 
ternehmen - vor allem in der Logistik- 
branche - ihre Fahrzeuge mit GPS aus. 
GPS steht für Global Positioning System 
(globales Positionsbestimmungssys- 
tem), offiziell NAVSTAR GPS. Die Tech- 
nologie beruht auf einem Satellitensys- 
tem zur exakten Navigation oder Posi- 
tionsbestimmung. Zur Nachverfolgung 
von Fahrzeugen werden diese mit einem 
GPS-Gerät ausgestattet. 

Auf Grund einer Beschwerde gegen 
ein international tätiges Transportun- 
ternehmen überprüften der Hessische 
Beauftragte für Datenschutz und 
Informationsfreiheit (HBDI), Prof. 
Dr. Alexander Roßnagel, und seine 
Mitarbeiter:innen im 50. Tätigkeitsbe- 
richt für 2021 (Seite 134) den Einsatz 
und die Anwendungen der eingesetz- 
ten Verfolgungstechnologie. Der Be- 
schwerdeführer hatte vorgetragen, dass 
GPS-Tracker in die genutzten Fahrzeuge 
neu eingebaut worden seien und der 
Arbeitgeber den Einsatz gegenüber den 
Beschäftigten mit Diebstahlsicherung, 
Effizienzsteigerung, Verbesserung der 
Dienstleistung, Kontrolle unerlaubter 
Privatnutzung und Sicherheit der Fah- 
rerinnen und Fahrer sowie der Fahrzeu- 
ge begründet hatte. 

Folgende Daten würden sechs Monate 
gespeichert: Name des Fahrzeugbenut- 
zers, der aktuelle Standort des Fahr- 
zeuges, die aktuelle Geschwindigkeit 
des Fahrzeuges und die aktuellen Can- 
Bus-Daten (d.h. Zündung, Kilometer- 
zähler, Kraftstoffverbrauch, Füllstand, 
Motorumdrehungen). Zu den Verarbei- 
tungszwecken wurde von dem Trans- 
portunternehmen ausgeführt, dass das 
GPS-Tracking 
- der schnellen Störungsbehebung und 

Effizienzsteigerung in der Routenpla- 

nung, 

- der Sicherstellung der Einhaltung 
steuerrechtlicher Vorschriften, 

- der Sicherheit der Fahrer (Unfall/Pan- 
nenhilfe), 
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- der Sicherheit der Fahrzeuge (Dieb- 


stahlschutz), 
- der Effizienzsteigerung in der Fahr- 
zeugbeschaffung (Qualität/Abnut- 


zung der Fahrzeuge) und 

- der Sicherstellung der Einhaltung 
arbeitsrechtlicher Vorgaben (Miss- 
brauch der Tankkarte) 

diene. 


Das Prüfverfahren durch die Daten- 
schutzaufsicht ergab, dass der Einsatz 
der GPS-Tracker in dervom Unternehmen 
beschriebenen Ausgestaltung gegen den 
Datenschutz verstieß. Prüfmaßstab war 
der & 26 Abs. 1 BDSG, der vorgibt, dass 
Beschäftigtendaten nur verarbeitet wer- 
den dürfen, wenn dies für die Durchfüh- 
rung des Beschäftigungsverhältnisses 
‚erforderlich‘ ist. Dazu wird im Bericht 
ausgeführt: „Insbesondere wenn es um 
die Verarbeitung von Beschäftigtenda- 
ten geht, sind im Rahmen der Erforder- 
lichkeitsprüfung die betroffenen Grund- 
rechtspositionen und widerstreitenden 
Interessen zur Herstellung praktischer 
Konkordanz abzuwägen und zu einem 
Ausgleich zu bringen, der die Interessen 
der Beschäftigten und des Arbeitgebers 
möglichst weitgehend berücksichtigt 
(BT-Drs. 18/11325, 98). Gefordert wird 
hierfür eine Prüfung am Maßstab des 
Verhältnismäßigkeitsgrundsatzes, was 
wiederum voraussetzt, dass der Verant- 
wortliche einen legitimen Zweck ver- 
folgt, das Verarbeitungsverfahren für 
die Verwirklichung dieses Zwecks geeig- 
net ist und es sich um das mildeste aller 
gleich effektiv zur Verfügung stehenden 
Mittel handelt (vgl. 9.04 2019 - 1 ABR 
51/17) Darüber hinaus muss es auch un- 
ter Abwägung der Umstände des Einzel- 
falles angemessen sein.” 

Unter Anlegung dieses Maßstabes 
werden im Bericht die verschiedenen 
Tracking-Ziele geprüft: 


« Schnelle Störungsbehebung und Ef- 
fizienzsteigerung bei der Routenpla- 
nung 


Hier kommt der Datenschützer zu dem 
Ergebnis, dass Störungsbehebung und 
Effizienzsteigerung bei der Routenpla- 
nung legitime Zwecke gem. $ 26 Abs. 1 
BDSG sind. Allerdings sei eine Speiche- 
rung der erhobenen GPS-Tracking-Da- 
ten hierfür nicht erforderlich und damit 


unzulässig, da zur Verwirklichung der 
genannten Zwecke eine „flüchtige Mo- 
mentaufnahme“, also lediglich die Ver- 
wendung aktuell zur Verfügung stehen- 
der Daten, ausreichend sei. 


e Sicherheit der Fahrer (Unfall/Pan- 
nenhilfe) 


Die Erhebung und Speicherung von 
GPS-Tracking-Daten, um bei einem Un- 
fall oder einer Panne schnelle Hilfe zu 
leisten, könne als Maßnahme des Ar- 
beitsschutzes gem. & 26 Abs. 1 Satz 1 
BDSG in Verbindung mit den Bestim- 
mungen des Arbeitsschutzgesetzes 
grundsätzlich als zulässig angesehen 
werden. Im konkreten Fall bezweifelt 
der Datenschutzbeauftragte die Geeig- 
netheit der Maßnahme, da die im Falle 
eines Unfalls zur Verfügung stehenden 
Instrumente (Pannenhilfe, Notruf) für 
die Sicherheit der Fahrer geeigneter 
sein dürften. Eine dauerhafte Speiche- 
rung der GPS-Fahrzeug-Daten sei für die 
Zweckerfüllung nicht erforderlich. 


« Sicherheit der Fahrzeuge (Diebstahl- 
schutz) 


Für den Diebstahlschutz und das Wie- 
derauffinden eines Firmenfahrzeuges 
sei eine ständige Erfassung der Fahr- 
zeugposition und eine Speicherung 
nicht erforderlich, da für das Wieder- 
auffinden eines entwendeten Fahrzeu- 
ges die anlassbezogene Erhebung des 
Standorts des Fahrzeugs im Falle eines 
festgestellten Fahrzeugverlustes ge- 
nügt. 


« Effizienzsteigerung in der Beschaf- 
fung (Qualität, Abnutzung der Fahr- 
zeuge) 


Viele LKW-Daten und auch das Verhal- 
ten von Fahrer:innen können heute mit- 
tels einer Flotten-Management-Schnitt- 
stelle in Echtzeit-Überwachung durch 
die Firmenzentrale kontrolliert werden. 
Fahrzeugdaten wie etwa Zündung an/ 
aus, Geschwindigkeit, Drehzahl, km- 
Stand, Tankinhalt, Kraftstoffverbrauch 
(Live Can Bus-Daten) werden automati- 
siert ausgelesen und übermittelt. Auch 
eine Fahrstilanalysen und die Protokol- 
lierung von Lenk- und Ruhezeiten ist 
möglich. Auf Grundlage der erhobenen 
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Daten kann, so der HBDI, ein Unterneh- 
men auch die Leistung von Fahrzeugen 
beurteilen und entscheiden, ob der 
Fahrzeugtyp für den verwendeten Zweck 
geeignet ist oder ob zukünftig andere 
Fahrzeugtypen angeschafft werden, die 
z.B. einen geringeren Verbrauch auf- 
weisen. Darüber hinaus könne auch re- 
levant sein, ob Maximalkilometervorga- 
ben eingehalten werden, die gemäß den 
jeweils anwendbaren Leasingverträgen 
berücksichtigt werden müssen. 


« Sicherstellung der Einhaltung arbeits- 
rechtlicher Vorgaben 


Zu unterscheiden sind anlasslose 
präventive Kontrollmaßnahmen zur 
Überprüfung der Einhaltung von be- 
stehenden arbeitsrechtlichen Pflichten 
und anlassbezogene repressive Mitar- 
beiterkontrollen bei einem konkret zu 
dokumentierenden Anfangsverdacht. 

Hinsichtlich anlassloser präventi- 
ver Kontrollmaßnahmen zur Überprü- 
fung der Einhaltung von bestehenden 
arbeitsrechtlichen Pflichten hält der 
Datenschutzbeauftragte fest, dass 
präventive Compliance-Kontrollen, 
die nicht auf einem personenbezoge- 
nen einfachen Anfangsverdacht einer 
Pflichtverletzung oder einer Straftat 
bezüglich eines bestimmten Beschäf- 
tigten beruhen, unter bestimmten 
Voraussetzungen nach der Rechtspre- 
chung des Bundesarbeitsgerichts auf 
8 26 Abs. 1 Satz 1 oder 2 BDSG gestützt 
werden können (BAG 09.07.2013 - 1 
ABR 2/13, Rn. 20 ff.). Dies gelte vor 
allem für nach abstrakten Kriterien 
durchgeführte, keinen Arbeitnehmer 
besonders unter Verdacht stellende, 
offene, temporäre und stichprobenarti- 
ge Überwachungsmaßnahmen, die der 
Verhinderung von Pflichtverletzungen 
oder Straftaten dienen sollen und ohne 
deren Durchführung keine verhaltens- 
lenkende Wirkung entfaltet werden 
kann. Eine solche Maßnahme sei aller- 
dings anzukündigen. 

Eine anlassbezogene repressive Mit- 
arbeiterkontrolle bei konkret zu doku- 
mentierendem Anfangsverdacht einer 
Straftat müsse angesichts der konkret 
auf eine Person gerichteten Überwa- 
chung als erheblicher Eingriff in de- 
ren Persönlichkeitssphäre angesehen 
werden. Damit ein Ortungssystem zur 
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Aufdeckung einer Straftat zulässig 
eingesetzt werden kann, sei es nach 
& 26 Abs. 1 Satz 2 BDSG notwendig, 
dass ein konkreter Anfangsverdacht 
einer Straftat vorliegt. Das besondere 
Zulässigkeitserfordernis eines konkre- 
ten Tatverdachts soll verhindern, dass 
eine gezielte Überwachung schranken- 
los eingesetzt werden darf. Damit ein 
konkreter Tatverdacht vorliegt, so der 
Datenschutzbeauftragte, müssen Tat- 
sachen gegeben sein, die als Indizien 
für das Vorliegen einer Straftat gelten 
können. Es müsse in persönlicher und 
räumlicher Hinsicht der objektiv be- 
gründete Anfangsverdacht einer Straf- 
tat bestehen. 

Allerdings müsse bei einer repressiven 
Ortung mittels GPS-Tracker zwecks Auf- 
klärung einer Straftat ein berechtigtes 
Interesse des Arbeitgebers an der Kon- 
trollmaßnahme vorliegen und sein In- 
teresse an der Aufdeckung der Straftat 
den schutzwürdigen Arbeitnehmerin- 
teressen an der Wahrung seines Persön- 
lichkeitsschutzes überwiegen, wobei 
bei der Interessenabwägung vor allem 
die Art und Schwere der Straftat, der 
Grad des Tatverdachts und die Schwere 
des Eingriffs in das Persönlichkeitsrecht 
zu berücksichtigen seien. So könnten 
sich etwa bei Bagatelldelikten Kontroll- 
maßnahmen verbieten. Grundsätzlich 
erlaubten präventive als auch repressive 
Maßnahmen keine dauerhafte und um- 
fassende Ortung von Beschäftigten; die 
Überwachungsmaßnahme sei zeitlich 
zu begrenzen. 

Angesichts der vielfältigen Überwa- 
chungsmöglichkeiten von Beschäf- 
tigten mittels GPS-Tracking empfiehlt 
der Hessische Datenschutzbeauftragte 
Betriebs- und Personalräten den Ab- 
schluss einer Betriebsvereinbarung vor 
der Einführung der Technologie. 


Was darf in Dienstplänen mitgeteilt 
werden? 


Online-Kalender und -Terminplaner 
sind sicher eine praktische Angelegen- 
heit und Arbeitserleichterung. Haben 
aber mehrere Kolleginnen und Kollegen 
Einsicht in solche Kalender, sind daten- 
schutzrechtliche Aspekte zu beachten. 
So erreichten den Thüringer Landes- 
beauftragten für den Datenschutz 
und die Informationsfreiheit im Jahr 


2019 gleich mehrere Anfragen aus Un- 
ternehmen und Behörden zur Zulässig- 
keit von für alle Beschäftigte einsehba- 
ren Kalendern, Zeitplänen und Tabellen, 
in denen auch vermerkt wird, welche 
Beschäftigten wegen einer Erkrankung 
(des Mitarbeiters selbst oder eines Kin- 
des) nicht bei der Arbeit waren (siehe 
2. TB nach DSGVO, Seite 92). Für derart 
konfigurierte Kalender, aus denen für 
andere Beschäftigte Informationen zu 
Fehltagen aufgrund von Erkrankung zu 
ersehen sind, gibt es keine spezifische 
Rechtsgrundlage. 

Mit 8 27 im neuen Thüringer Daten- 
schutzgesetz (ThürDSG) wurde eine 
spezielle Vorschrift zur Gewährleistung 
des Schutzes der Rechte und Freiheiten 
hinsichtlich der Verarbeitung perso- 
nenbezogener Beschäftigtendaten auf- 
genommen. Die Vorschrift erklärt die 
dienstrechtlichen Vorschriften 88 79 bis 
87 Thüringer Beamtengesetz (ThürBG) 
für entsprechend anwendbar. 

Aus diesen Paragrafen ergibt sich, so 
der Beauftragte, mangels Erforderlich- 
keit keine Zulässigkeit die Gründe für 
private oder persönliche Abwesenheiten 
wie zum Beispiel Krankheit, Kranken- 
haus- oder Kuraufenthalt, Kinderbe- 
treuung, Urlaub etc. anderen Beschäf- 
tigten via Terminkalender zur Kenntnis 
zu geben. Fazit des Datenschützers: 
„Anderen Beschäftigten darf allenfalls, 
sofern eine Erforderlichkeit begründet 
werden kann, zur Kenntnis gegeben 
werden, ob ein Mitarbeiter ansprechbar 
ist oder sich nicht im Dienst befindet. 
Hierzu reicht es aus, die betreffenden 
Mitarbeiter als ‚abwesend‘ zu kenn- 
zeichnen. Die Gründe der Abwesenheit 
sind nicht relevant und daher auch 
nicht zur Einsicht bereitzustellen. Le- 
diglich im Falle einer dienstlich beding- 
ten Abwesenheit, zum Beispiel wegen 
Dienstreise, bestehen keine Bedenken 
gegen eine Kenntnisnahmemöglichkeit, 
da es sich um ein dienstliches Datum 
handelt.” 

Soweit das Ergebnis für die Behörden 
in Thüringen. Die Regelungen in den 
anderen Landesdatenschutzgesetzen 
führen zu keinem anderen Ergebnis für 
die jeweiligen Landesbehörden. Und 
auch der $ 26 BDSG (Datenverarbeitung 
für Zwecke des Beschäftigungsverhält- 
nisses) kommt für private Unternehmen 
zum gleichen Ergebnis. 
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Immer horche, immer gugge... 

... sagt man in Hessen. Gut informier- 
te Betriebs- und Personalräte sind eine 
Voraussetzung für eine gute Umsetzung 
von Beschäftigteninteressen. Das gilt 
auch für die aktuellen Entwicklungen 
beim Beschäftigtendatenschutz. Da ist 


es durchaus hilfreich, einmal in die Tä- 
tigkeitsberichte der Datenschutzbehör- 
den zu „gugge“. 


* Der Autor berät und schult Betriebs- 
und Personalräte zum Beschäftigtenda- 
tenschutz. In der Zeitschrift Computer 


Dr. Frank Schury, Riko Pieper 


und Arbeit, Bund Verlag, berichtet er 
regelmäßig über Fälle zum Beschäftig- 
tendatenschutz aus aktuell erschienen 
Tätigkeitsberichten der Datenschutzbe- 
hörden. 


Ein Weg zur Umsetzung des neuen 8 79a BetrVG 
„Datenschutz“ in der Praxis - Oder: „Geltendes Recht ist 


anzuwenden ?!?” 


Vorbemerkung 


Die vorrangige Zielsetzung des nach- 
folgenden Beitrags ist nicht eine um- 
fassende Behandlung bzw. endgültige 
juristische Beurteilung aller Argumente 
hinsichtlich der DSGVO-Konformität des 
& 79a! BetrVG. Es geht den Autoren viel- 
mehr darum zu zeigen, welchen Weg der 
Konzerndatenschutz der DFS gewählt 
hat die Bestimmungen dieses Paragra- 
fen umzusetzen. 


Rahmenbedingungen der DFS Deut- 
sche Flugsicherung GmbH 


Die DFS Deutsche Flugsicherung fir- 
miert als GmbH in Konzernstruktur mit 
zum Teil internationalen Töchtern und 
Niederlassungen in allen Bundeslän- 
dern. Sie nimmt im Auftrag des Bundes 
die hoheitliche Aufgabe Flugverkehrs- 
kontrolle wahr. Somit gilt sie, trotz der 
Rechtsform GmbH, gemäß 8 2? Abs. 4 
Satz 2 BDSG als „öffentliche Stelle im 
Sinne dieses Gesetzes“. Die zuständi- 
ge Datenschutz-Aufsichtsbehörde der 
DFS für das Kerngeschäft ist daher der 
Bundesbeauftragte für den Datenschutz 
und die Informationsfreiheit BfDT’. Die 
DFS als Rechtsnachfolger der ehemali- 
gen Bundesbehörde Bundesanstalt für 
Flugsicherung (BFS) hat unter den Be- 
schäftigten zugewiesene Beschäftigte 
des Luftfahrtbundesamts und aufgrund 
der zivil-militärischen Zusammenarbeit 
auch beurlaubte Soldaten. 
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Die DFS finanziert sich im Kernge- 
schäft über Flugsicherungsgebühren, 
die Luftraumnutzer für An-/Abflug und 
Strecke bezahlen. Der Anteilseigner 
Bund hat zusätzlich in der DFS-Strategie 
den Ausbau des preisfinanzierten Ge- 
schäfts verankert. Für dieses sogenann- 
te „Drittgeschäft” wurden verschiedene 
Tochtergesellschaften gegründet oder 
aufgekauft, die größtenteils keinen 
hoheitlichen Auftrag haben. Die Toch- 
tergesellschaften ohne hoheitlichen 
Auftrag haben ihren Sitz in Hessen und 
Bayern und sind somit „nicht-Öffentli- 
che Stellen“ im Sinne des BDSG und der 
DSGVO. Zuständige Aufsichtsbehörden 
sind in diesen Fällen die jeweiligen Lan- 
desbehörden für den Datenschutz, der 
HBDI* und das BayLDA°. 


Vorgeschichte zum neuen 
8 79a BetrVG 


Seit vielen Jahren gab es eine Rechts- 
unsicherheit bezüglich der Frage, ob der 
Betriebsrat (BR) Teil der „verantwortli- 
chen Stelle” gemäß & 3° Abs. 7 BDSG 
a.F. bzw. seit 2018 „Verantwortlicher“ 
gemäß Art. 4’ Nr. 7 DSGVO ist. Sowohl 
für die Ablehnung als auch für die Un- 
terstützung der Ansicht, den BR als Teil 
der verantwortlichen Stelle zu sehen, 
wurden Argumente vorgetragen: 

« Ablehnende Haltungen referenzier- 
ten im Kern auf ein BAG-Urteil von 
1997® und weitere Urteile, u. a. ein 
BAG-Urteil aus 2012° zur Internetnut- 


zung durch BR-Mitglieder. In diesen 
Urteilen wird immer im Wesentlichen 
auf die Unabhängigkeit des BR abge- 
stellt, was jegliche Kontrollrechte, sei 
es durch den Datenschutzbeauftrag- 
ten (DSB) oder andere Stellen des Un- 
ternehmens, wie z. B. Administrato- 
ren, ausschließt. Dies wurde u. a. mit 
der Tatsache begründet, dass der DSB 
vom Arbeitgeber bestellt wird, und 
somit als „Erfüllungsgehilfe” oder gar 
als „Handlanger“ des Unternehmens 
zu sehen wäre. Die Vertreter dieser 
Ansicht argumentierten mit dem di- 
rekten Weisungsrecht des Arbeitge- 
bers gegenüber dem DSB, abgeleitet 
aus dem & 4f!° (3) BDSG a.F., der von 
einer Unterstellung des DSB unter die 
oberste Leitung sprach. 

Die Schweigepflicht des DSB, auch 
gegenüber dem Verantwortlichen, 
wurde nicht als hinreichendes Gegen- 
argument akzeptiert, da sich diese 
Pflicht nur auf die personenbezoge- 
nen Daten bezieht, nicht aber auf 
weitergehende Informationen, wie 
z. B. Entscheidungsprozesse oder Be- 
schlussfassungen des BR. Einzelne 
Vertreter forderten deshalb konse- 
quent eine eigene Datenschutzorga- 
nisation des BR, inklusive der Bestel- 
lung eines eigenen DSB des BR, ein- 
zurichten (siehe Wedde 2020''). 

Die gegenläufige Ansicht, den BR als 
Teil der verantwortlichen Stelle zu 
sehen, basierte im Wesentlichen auf 
zwei Argumentationslinien: 
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In der Praxis nutzen Betriebsräte die 
Infrastruktur, die das Unternehmen 
zur Verfügung stellt und betreibt, 
und somit für die IT-Systeme auch die 
wesentlichen Pflichten hinsichtlich 
technischer und organisatorischer 
Maßnahmen (TOM) wahrnimmt. Dies 
manifestiert die Stellung des Arbeit- 
gebers als Verantwortlicher für die 
Verarbeitung von personenbezogenen 
Daten. 

Im Hinblick auf die o. g. Argumente, 
mit denen dem DSB Kontrollrechte 
abgesprochen wurden, hielt mannach 
Inkrafttreten der DSGVO und des BDSG 
in neuer Fassung entgegen, dass vom 
BAG 1997 ein Beschluss in einer Zeit 
gefasst wurde, in der man den DSB 
durchaus als „verlängerten Arm oder 
Handlanger des Arbeitgebers” sehen 
konnte. Diese Meinung würde jedoch 
nicht mehr der aktuellen Rolle des 
DSB gerecht. Somit könne man sich 
auch nicht mehr auf dieses Urteil be- 
rufen. Damit würde ein wesentliches 
Argument, das gegen den Arbeitge- 
ber als verantwortliche Stelle spricht, 
wegfallen. 


Das Betriebsrätemodernisierungsge- 
setz - 8 79a BetrVG „Datenschutz” als 
Lösung? 


Als Ergebnis der oben dargestellten 
Rechtsunsicherheit wurde der Gesetz- 
geber mehrfach aufgefordert für Klar- 
heit zu sorgen. Im Jahr 2020 fasste 
die Datenschutzkonferenz einen Be- 
schluss’? an den Bundesgesetzgeber he- 
ranzutreten und diesen aufzufordern in 
Wahrnehmung seiner Spezifizierungs- 
befugnis nach Art. 4Nr. 7 Hs. 21. V. m. 
Art. 88'° Abs. 1 DSGVO gesetzlich klar- 
zustellen, ob der BR Verantwortlicher 
im Sinne von Art. 4 Nr. 7 DSGVD ist. 

Der gemäß „Betriebsrätemodernisie- 
rungsgesetz”'* im Jahr 2021 neu einge- 
führte 8 79a BetrVG sollte die geforderte 
Rechtssicherheit schaffen, ob der BR 
als Verantwortlicher oder als Teil des 
Verantwortlichen im Unternehmen in 
Ausübung seiner Aufgaben personenbe- 
zogene Daten verarbeitet. Damit einher- 
gehend entstünde dann auch Klarheit 
hinsichtlich der daraus erwachsenden 
Konsequenzen, speziell hinsichtlich der 
Kontrollrechte des DSB, der Verantwort- 
lichkeit für TOM, der Umsetzung der 
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Rechte der Betroffenen und Haftungs- 
fragen bei Datenschutzverstößen. 

Wie wurde die geforderte Rechtssi- 
cherheit nun durch den & 79a BetrVG 
umgesetzt: 

„Bei der Verarbeitung personenbezo- 
gener Daten hat der Betriebsrat die Vor- 
schriften über den Datenschutz einzuhal- 
ten. Soweit der Betriebsrat zur Erfüllung 
der in seiner Zuständigkeit liegenden 
Aufgaben personenbezogene Daten ver- 
arbeitet, ist der Arbeitgeber der für die 
Verarbeitung Verantwortliche im Sinne 
der datenschutzrechtlichen Vorschriften. 
Arbeitgeber und Betriebsrat unterstützen 
sich gegenseitig bei der Einhaltung der 
datenschutzrechtlichen Vorschriften. Die 
oder der Datenschutzbeauftragte ist ge- 
genüber dem Arbeitgeber zur Verschwie- 
genheit verpflichtet über Informationen, 
die Rückschlüsse auf den Meinungsbil- 
dungsprozess des Betriebsrats zulassen. 
$ 6 Absatz 5 Satz 2, & 38 Absatz 2 des 
Bundesdatenschutzgesetzes gelten auch 
im Hinblick auf das Verhältnis der oder 
des Datenschutzbeauftragten zum Arbeit- 
geber.“ 


Was wurde damit nun geschaffen? Die 
Verantwortlichkeit ist dem Arbeitgeber 
zugeordnet, die Verschwiegenheits- 
pflicht des DSB wurde erweitert und die 
Zusammenarbeit zwischen Arbeitgeber 
und BR bei der Einhaltung der Bestim- 
mungen ohne weitere Spezifizierung 
wurde manifestiert. 


Klärungsprozess zur praktischen 
Umsetzung des $ 79a BetrVG im DFS- 
Konzern 


Die Klarheit bezüglich der Verantwor- 
tung des BR scheint auf den ersten Blick 
erfüllt zu sein. Der Arbeitgeber ist der 
Verantwortliche - mit allen sich daraus 
ergebenden Konsequenzen! 

Bei näherer Betrachtung ist es aber 
so, dass die Schaffung einer Rechtssi- 
cherheit, trotz des klar zu erkennenden 
Willens des Gesetzgebers, nach wie vor 
strittig erscheint. Nachfolgend aufge- 
führte Punkte werden von Vertretern 
dieser Ansicht angeführt: 

« Nach Art. 4Nr. 7 Hs. 1 DSGVO ist Ver- 
antwortlicher, wer über die Zwecke 
und Mittel (Hervorhebung durch die 
Autoren) der Datenverarbeitung ent- 
scheidet. Das BetrVG regelt unstrit- 


tig an mehreren Stellen die Zwecke 
(Aufgaben) des BR. An keiner Stelle 
dieses Gesetzes sind aber die Mittel 
festgeschrieben. Über die Mittel zur 
Verarbeitung personenbezogener Da- 
ten durch den BR entscheidet der BR 
autonom. In diesem Punkt wurde das 
BetrVG nicht geändert. 

& 79a S. 2 BetrVG [...] ist weder von 
der Öffnungsklausel des Art. 4 Nr. 7 
Hs. 2 DSGVO gedeckt noch ist er eine 
spezifischere Vorschrift zur Verar- 
beitung von Beschäftigtendaten im 
Beschäftigungskontext im Sinne des 
Art. 88 DSGVO. Wegen der unmittel- 
baren Geltung der DSGVO in allen Mit- 
gliedstaaten der EU darf die Vorschrift 
deshalb nicht angewendet werden. 
Für die Datenverarbeitung durch den 
BR gilt daher Art. 4Nr. 7 Hs. 1DSGVO. 
Der Arbeitgeber haftet für Daten- 
schutzverstöße seiner Betriebsräte 
grundsätzlich nicht. 


Die aufgeführten Punkte sollen an 
dieser Stelle nicht im Einzelnen disku- 
tiert werden. Den Autoren erschien aber 
insbesondere die Argumentation hin- 
sichtlich der nichterfolgten Festlegung 
der Mittel im BetrVG durchaus nachvoll- 
ziehbar. 

Vor dem Hintergrund der Forderung 
der Datenschutzkonferenz Klarheit zu 
schaffen (s. o.), war es naheliegend die 
Sichtweisen der für den DFS-Konzern 
zuständigen Datenschutz-Aufsichts- 
behörden BfDI, HBDI und BayLDA ein- 
zuholen. Alle drei Behörden wurden 
mit dem Hinweis auf die aktuell unter- 
schiedlichen Rechtsauffassungen zu 
dem neuen & 79a BetrVG per E-Mail an- 
geschrieben. 

In dieser Mail wurden die oben auf- 
geführten Punkte dargestellt und zu- 
sätzlich auf praktische Probleme der 
Umsetzung hingewiesen, u. a. in Bezug 
auf Auskünfte gem. Art. 13'° DSGVO in 
vertraulichen Vorgängen des BR durch 
den Arbeitgeber und die Frage nach der 
verantwortlichen Stelle bei Konzernbe- 
triebsräten. 

Alle drei Behörden beantworteten 
die Anfrage und boten einen weiteren 
Austausch zu dem Thema an. In diesem 
Dialog wurde in erster Linie erörtert, 
inwieweit der in Rede stehende & 79a 
BetrVG eine Öffnungsklausel im Sinne 
des Art. 4 Nr. 7 Hs. 2 DSGVO darstellt 
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und wie die von den Autoren dargestell- 
ten Praxisprobleme zu lösen wären. Der 
Austausch mit den Datenschutz-Auf- 
sichtsbehörden war dabei sehr konst- 
ruktiv und wurde von allen Beteiligten 
mit großer Offenheit und auch Interesse 
an den Positionen der jeweils anderen 
Behörden geführt. 

Im Ergebnis war folgendes festzu- 
halten: 


« 8 79a BetrVG ist geltendes Recht und 
damit anzuwenden. 

* Diese Regelung stellt eine Öffnungs- 
klausel im Sinne des Art. 4Nr. 7 Hs. 2 
DSGVO dar. Für diese Rechtsauffas- 
sung wurden verschiedene Argumen- 
te aufgeführt: 

- Der BR sei analog dem DSB zu be- 
trachten, der auch Teil der verant- 
wortlichen Stelle sei. Ohne an die- 
ser Stelle vertieft eine Diskussion 
über die Rechtsstellung des DSB zu 
beginnen, könnte man auch zum 
Umkehrschluss kommen: Der DSB, 
da er ebenfalls ohne gesetzliche 
Vorgabe zur Wahl der Mittel sei- 
ne Aufgaben nach DSGVO erfüllt, 
müsste auch verantwortliche Stelle 
sein. Das hätte etwas von der Büch- 
se der Pandora. 

- Es wurde die Regelung der Auftrags- 
verarbeitung angeführt, bei der das 
Unternehmen verantwortliche Stel- 
le bleibt, obwohl der Auftragneh- 
mer bei der Wahl nicht wesentlicher 
Mittel der Verarbeitung wie Hard- 
und Software frei entscheiden 
kann. Diese Sichtweise wird durch 
ein Leitlinienpapier des Europäi- 
schen Datenschutzausschusses zu 
den Begriffen „Verantwortlicher“ 
und „Auftragsverarbeiter” in der 
DSGVO'° unterstützt. Dementspre- 
chend könne man eine Analogie 
zum Verhältnis BR zum Arbeitgeber 
sehen. 

« Die von den Autoren aufgeführten 
Bedenken, insbesondere hinsichtlich 
verschiedener Umsetzungsprobleme 
in der Praxis, könne man aber trotz- 
dem durchaus nachvollziehen. Die 
Autoren wurden an dieser Stelle auch 
auf entsprechende Bedenken des LfDI 
Baden-Württemberg Dr. Brink’ ver- 
wiesen, der im Ergebnis zwar auch 
feststellt, dass & 79a BetrVG gelten- 
des Recht und damit anzuwenden sei, 
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aber auf Grund durchaus diskussions- 
würdiger Einwände in einem Fachauf- 
satz die nachfolgende Befürchtung 
äußert: 

n...50 ist zu befürchten, dass sich um 
die Durchsetzung von & 79 a BetrVG nF 
zunächst die Arbeitsgerichte werden 
bemühen müssen.” 


„Alles klar - was nun?” - Weiteres 
Vorgehen im DFS-Konzern 


Das Ergebnis war somit erst einmal 
eindeutig: & 79a BetrVG ist anzuwen- 
den, auch wenn einzelne Bedenken der 
Autoren nicht vollkommen ausgeräumt 
wurden. So ist im Hinblick auf die be- 
schriebenen Analogien zum DSB bzw. 
der Auftragsverarbeitung zumindest 
einzuwenden, dass in beiden Fällen, 
anders als beim BR, weitere Regelun- 
gen existieren, die das Verhältnis zum 
Unternehmen bestimmen. Beim DSB ist 
dies die Benennung durch den Arbeit- 
geber und beim Auftragnehmer die Ver- 
einbarung zur Auftragsverarbeitung mit 
dem Unternehmen. Eine „1:1”- Analogie 
zur Aufgabenerfüllung des BR liegt so- 
mit nicht vor. 

Aus den eingangs beschriebenen 
Rahmenbedingungen resultieren im 
DFS-Konzern mehrere unterschiedliche 
Arbeitnehmervertretungen: Es gibt ei- 
nen Konzernbetriebsrat (KBR), einen 
Gesamtbetriebsrat (GBR), achtzehn ört- 
liche Betriebsräte an den Niederlassun- 
gen und einen Personalrat (PR). 

Entsprechend der eingangs in der Vor- 
bemerkung genannten Zielsetzung un- 
seres Beitrags eine Lösung für die Um- 
setzung in der Praxis zu finden, wurde 
nun im nächsten Schritt auf die Arbeit- 
nehmervertretungen und den zustän- 
digen Personalbereich zugegangen. Die 
ersten Ergebnisse sehen wie folgt aus: 

« Das Meinungsbild ist innerhalb der 
Arbeitnehmervertretungen unein- 
heitlich. Verschiedene Betriebsräte 
lehnen, basierend auf Aussagen von 
Referenten bei Datenschutzschulun- 
gen für Betriebsräte, die Regelungen 
des 8 79a BetrVG ab. 

Betriebsräte der DFS arbeiten über- 
wiegend im Netzwerk der DFS, die so- 
mit als Unternehmen die Einhaltung 
der Bestimmungen zu TOM gem. den 
Artt. 24 und 32 DSGVO sicherstellen 
muss. 


« Sowohl auf Arbeitgeberseite als auch 
bei den Betriebsräten gibt es vie- 
le Fragen zur Umsetzung. Es wurde 
schon eine erste Liste mit Punkten 
erstellt, diein der praktischen Umset- 
zung schwierig bzw. strittig werden: 

- Integration des Verzeichnisses der 

Verarbeitungstätigkeiten (VVT) des 
BR in das VVT des Unternehmens. 

- Verantwortung bei Datenschutzver- 
stößen, insbesondere bei Nichtein- 
haltung der Anforderungen an TOM. 
Erfüllung der Anforderungen aus 
Kapitel 3° DSGVO „Rechte der Be- 
troffenen“. 

- Verantwortung für die Verarbeitung 
durch Betriebsräte des KBR, die je- 
weils verschiedenen Tochterunter- 
nehmen angehören. 

- Wahrnehmung der Kontrollrechte 
des DSB bei den Betriebsräten. 


Bestreben der Autoren wird es sein zu 
den o. a. Punkten gemeinsame Regelun- 
gen im Sinne der in 8 79a BetrVG gefor- 
derten gegenseitigen Unterstützung bei 
der Einhaltung der datenschutzrechtli- 
chen Vorschriften zu finden. Mögliches 
Mittel wäre der Abschluss von Betriebs- 
vereinbarungen, wie es der LfDI Baden- 
Württemberg Dr. Brink empfiehlt. Ziel 
muss es sein mittels eines „common 
sense” einen Weg zu bestreiten, der eine 
mögliche Flut von Gerichtsverfahren 
vermeidet. 


1 http://www.gesetze-im-internet.de/ 
betrvg/__79a.html 


https://dsgvo-gesetz.de/bdsg/2-bdsg/ 


3 https://www.bfdi.bund.de/DE/Home/ 
home_node.html 


4 https://datenschutz.hessen.de/ 


https://www.lda.bayern.de/de/index. 
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http://www.buzer.de/gesetz/3669/ 
a51560.htm 
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Personenbezogene Daten ohne Bedeutung? 


Gibt es so etwas überhaupt - Daten 
ohne Bedeutung? Wenn ja, wer will 
solche Daten haben? Kann man damit 
irgendetwas Sinnvolles anfangen? Am 
Beispiel eines realen, hier modifiziert 
dargestellten Falls wollen wir diese viel- 
leicht etwas skurrile Frage genauer un- 
ter die Lupe nehmen. Zum Ergebnis so 
viel vorweg: Die Bedeutung von Daten 
liegt manchmal versteckt jenseits ihres 
unmittelbaren Informationsgehalts. 


Der Fall: Einfachere Tourenplanung 
durch IT-Unterstützung 


Die ABC AG führt als Dienstleistung 
Reparaturen an technischen Anlagen 


aus, die bei ihren Kunden installiert 
sind. Dafür beschäftigt die ABC AG zahl- 
reiche Techniker im Außendienst, die 
mit irgendwelchen Fahrzeugen zu den 
Kunden reisen, um dort die nötigen Ar- 
beiten auszuführen. Die Techniker star- 
ten von verschiedenen Standorten des 
Unternehmens oder von ihren Wohnun- 
gen. Die Reparaturaufträge sind recht 
unterschiedlich. Manche Aufträge sind 
termingebunden, die Bearbeitungs- 
zeiten variieren zwischen einer Stunde 
und mehreren Tagen, und die benötig- 
ten Werkzeuge und Gerätschaften kön- 
nen manchmal nur in größeren Werk- 
stattwagen oder gar LKW transportiert 
werden. 


Für die Arbeitsplanung, also für die 
Frage, welche Techniker an welchen 
Tagen welche Aufträge bearbeiten 
sollen, ergibt sich ein komplexes Op- 
timierungsproblem. Die Reisezeiten 
sollen möglichst kurz sein, um die teu- 
ren Arbeitskräfte möglichst produktiv 
einzusetzen, die Fahrstrecken sollen 
kurz sein, um die Fahrtkosten zu mi- 
nimieren, Übernachtungen sollen 


vermieden werden, um Hotelkosten 
zu sparen, die Aufträge samt Fahrzeit 
sollen jeden Techniker an jedem Tag 
möglichst so lange beschäftigen, wie 
es seiner normalen Soll-Arbeitszeit 
entspricht, und alle Aufträge sind 
pünktlich zu erledigen.' 
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Hier verspricht ein Computersystem 
Hilfe. Es berechnet - so die Verheißung 
- den optimalen Tourenplan gewisser- 
maßen auf Knopfdruck. Natürlich muss 
man das System mit den relevanten 
Merkmalen der Aufträge (Orte, Termine, 
Zeitbedarf usw.) füttern und auch mit 
einigen Charakteristika der verschie- 
denen Techniker: Wer kann welche Re- 
paraturen ausführen? Wer startet wo? 
Wer hat welche Art von Fahrzeug? Und 
noch manches mehr. Das bei der ABC 
AG eingesetzte System erwartet, dass 
zu jedem Außendienst-Techniker neben 
vielen anderen die folgenden Angaben 
gespeichert werden: 


Personen 


Die „Objekte“ sind hier die Außen- 
dienstmitarbeiter, der Personenbezug 
steht außer Frage. 


Bessere Tourenplanung durch falsche 
Daten 


Bei allen Bemühungen um die Bestim- 
mung „korrekter“ Parameter pro Techni- 
ker erwies sich das System bei der ABC 
AG leider doch nicht als der perfekte 
Tourenplaner. Zahlreiche Techniker be- 
schwerten sich über zu viele Aufträge pro 
Tag, fehlende Gelegenheiten für Pausen, 
manchmal auch über nutzlose Wartezei- 
ten zwischen Aufträgen, ungeschickte 


PersNr. | 22735 


Fixkosten je Tour € | 35,00 
Fixkosten je Auftrag € 
(on elas |] 


Kosten je Übernachtung € | 100,00 


Touren 


Fahrgeschwindigkeit! 


Arbeitsgeschwindigkeit? %| 0 | 


1 im Vergleich nur Normalgeschwindigkeit 
2 im Vergleich zur durchschnittlichen Arbeitsgeschwindigkeit 


Bei den Parametern Fahrgeschwindig- 
keit und Arbeitsgeschwindigkeit ist es 
ganz offensichtlich, dass sie nur schwer 
objektiv zu bestimmen sind, und bei ge- 
nauerem Hinsehen erweisen sich auch 
dieanderen Parameter als diskussionsbe- 
dürftig. Deshalb wurde in einer Betriebs- 
vereinbarung zu dem System festgelegt, 
dass die Techniker an der Festlegung der 
Parameter zu beteiligen sind. 

Grundsätzlich aber handelt es sich bei 
diesen Angaben ganz klassisch um Da- 
ten, denen man eine bestimmte Bedeu- 
tung zumessen kann, bei Bedarf nach 
einer besonderen Klärung oder Über- 
einkunft. Im technischen Sinn sind das 
Datenfelder, die jeweils einen Aspekt 
des abgebildeten Objekts repräsentieren 
und deren Wertausprägungen das Ob- 
jekt unter diesem Aspekt beschreiben. 
Die Bezeichnungen der Datenfelder ge- 
ben einen Hinweis auf ihre Bedeutung. 
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Fahrrouten und manches andere. Auch 
die Disponenten fanden mit Papier und 
Bleistift in etlichen Fällen Tourenpläne, 
die in ihren Augen besser passten als sie 
der Planungsalgorithmus konfiguriert 
hatte. Der Mangel wurde nicht als so gra- 
vierend eingestuft, dass man das ganze 
Programm abgeschafft hätte. Vielmehr 
versuchten die Disponenten die Touren- 
planung dadurch zu verbessern, dass sie 
bei den unzufriedenen Technikern die 
oben genannten Parameter veränderten 
- was nach einigem Probieren tatsäch- 
lich gelang. Nun aber waren die Angaben 
nicht mehr zutreffend. 

Dem Betriebsrat erschien es wichtiger, 
dass zufriedenstellende Tourenpläne 
entworfen würden als dass alle im System 
über die Außendienstler gespeicherten 
Angaben der Wahrheit entsprächen. In 
der einschlägigen Betriebsvereinbarung 
wurden diese Parameter deshalb aus- 


drücklich als „virtuell“ eingestuft. Sie 
dürfen beliebig justiert werden. 

Hier wird es interessant. Die Para- 
meter sind zweifellos personenbezo- 
gene Daten. Schließlich stehen sie im 
Stammdatensatz jedes Außendienst- 
Technikers und können von Person zu 
Person variieren. Aber was sagen sie 
noch aus? Nachdem die Disponenten 
an den Werten „gedreht“ haben, bis das 
System gute Touren lieferte, kann man 
sich auf die Richtigkeit der Angaben 
nicht mehr verlassen. Es ist nicht mehr 
sicher, dass in den Datenfeldern „drin 
ist, was draufsteht”, und das hat hier 
sogar Methode. Was wird nun aus dem 
Auskunfts- und Korrekturanspruch, 
den das Gesetz, die DSGVO, den Betrof- 
fenen eigentlich garantiert? Kann ich 
eine Korrektur meiner Daten verlangen, 
wenn doch vereinbart ist, dass die Da- 
ten gar nicht korrekt zu sein brauchen, 
dass ihnen auch niemand die Bedeu- 
tung beimisst, die die Bezeichnungen 
der Parameter suggerieren, und dass 
die Daten auch nicht in diesem Sinne 
ausgewertet werden? Nach welchen 
Maßstäben soll ein Betroffener, wie es 
in der Betriebsvereinbarung bei der ABC 
AG vorgesehen ist, sein OK zu der Wahl 
der Parameter geben? Kann es den Be- 
troffenen egal sein, welche Werte da ge- 
speichert sind? Ist das Auskunfts- und 
Korrekturrecht also mangels Bedeutung 
der Daten sinnlos? Sicher nicht. 


Bedeutungslose, dennoch relevante 
Daten 


Denn praktisch sind diese Parameter 
sehr wohl von Bedeutung. Schließlich 
beeinflussen sie die Einsatzplanung für 
jeden einzelnen Techniker in erhebli- 
chem Maße, führen zu kurzen oder wei- 
ten Fahrstrecken, mehr oder weniger 
Aufträgen pro Tag und bei einer wirt- 
schaftlichen Erfolgsbeteiligung mög- 
licherweise sogar zu höherem oder ge- 
ringerem Einkommen. Die Bedeutung 
der Parameter liegt in der Art und Weise, 
in der sie verarbeitet werden, hier: Wie 
sie die Tourenplanung beeinflussen. Im 
Sinne der Semiotik könnte man sagen, 
die Bedeutung dieser Daten liegt nicht 
auf der semantischen, sondern auf der 
pragmatischen Ebene. Hier und nur hier 
spielt sich in diesem Fall das Entschei- 
dende ab. Deshalb ist Transparenz für die 
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Betroffenen erst dann gegeben, wenn sie 
Kenntnis nicht nur über die zu ihrer Per- 
son gespeicherten Daten, sondern auch 
über die Art ihrer Verwendung haben. 

Dies gilt keineswegs nur für das hier 
wiedergegebene Beispiel der ABC AG. 
Das Beispiel ist nur deswegen speziell 
(und damit besonders instruktiv), weil 
die individuellen Parameter für sich ge- 
nommen überhaupt keine Bedeutung 
mehr haben. Aber selbst dann, wenn die 
Disponenten der ABC AG stets „wahre“ 
Daten über die Außendienst-Techniker 
in den Planungsalgorithmus eingäben, 
bliebe ja der pragmatische Teil das ei- 
gentlich Interessante, das man nicht 
einfach ausblenden kann. 

Ähnlich liegt der Fall auch bei den viel 
diskutierten Bonitätskennzahlen, die 
Banken von Kreditauskunfteien berech- 
nen lassen und dann zur Grundlage von 
Kreditangeboten an ihre Kunden ma- 
chen. Auch hier ist es für die Betroffenen 
nicht so wichtig, ob die Eingabewerte 
wie Alter, Geschlecht, Anstellungsver- 
hältnis, Wohnanschrift etc. wahrheits- 
gemäß notiert sind; entscheidend ist 
das Kreditangebot, seine Konditionen 
und ggf. eine Begründung für die Kre- 
ditverweigerung, und das resultiert aus 
den Berechnungen des Bonitätsalgo- 
rithmus. Vergleichbar sind auch Syste- 
me, die die Wortwahl und die Formulie- 
rungen in Bewerbungsschreiben analy- 
sieren, in Interviews vielleicht sogar die 
Sprachmelodie oder die Körperhaltung 
der Kandidaten untersuchen und zu- 
mindest eine Auswahlempfehlung für 
die Personalabteilung treffen. Weniger 
schwerwiegend, aber ebenfalls prägnant 
für unsere These sind die Algorithmen, 
die Tracking-Daten der Internet-Benut- 
zer für die Auswahl von Werbeeinblen- 
dungen auf Webseiten verwenden. Hier 
gibt es überhaupt kein Berechnungser- 
gebnis in Form eines Datums, über des- 
sen Wert man Auskunft erteilen könn- 
te. Das System reagiert einfach auf die 
Tracking-Daten durch eine bestimmte 
Werbeeinblendung. Sonst nichts. 


Transparenz: Klarheit über Daten 
und ihre Nutzung 


Damit Betroffene ihr Grundrecht auf 
informationelle Selbstbestimmung sinn- 
voll wahrnehmen können, müssen sie 
alles wissen, was für die Beurteilung 
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der sie betreffenden Datenverarbeitung 
wichtig ist. Wenn nun die Bedeutung 
eines Datums auch oder allein darin be- 
steht, wie es sich auf einen bestimmten 
Algorithmus - etwa zum Entwurf eines 
Tourenplans - auswirkt, kann man die 
Relevanz, die Kritikalität und auch die 
Richtigkeit des Datums nur im Hinblick 
auf diesen Verwendungskontext beur- 
teilen. Ein Datum wäre dann für einen 
Betroffenen relevant und vielleicht 
besonders kritisch, wenn es als Einga- 
beparameter den Algorithmus und das 
Berechnungsergebnis stark beeinflusst. 
Und wann könnte man einen für sich 
genommen bedeutungslosen Parameter 
etwa des Tourenplanungsalgorithmus 
„richtig“ nennen? Die naheliegende 
Antwort lautet: Dann, wenn der Para- 
meter zu einem tatsächlich optimalen 
Ergebnis führt. 

Hier wird die Sache reichlich kom- 
plex und damit zum Problem. So ist die 
Wirkung einzelner Parameter auf das 
Berechnungsergebnis des Algorithmus, 
z.B. auf den Tourenplan, vermutlich gar 
nicht auszumachen. Vielmehr ergibt 
sich die Funktionalität der Berechnung 
im Allgemeinen aus dem Zusammen- 
spiel sämtlicher Parameter, die deshalb 
gemeinsam zu betrachten sind. Aber 
auch eine Auskunft über sämtliche für 
einen Techniker gespeicherten Parame- 
ter, wie z.B. 


Parameter 1 (ehemals Fixkosten je 
Tour): 1,00 

Parameter 2 (ehemals Fixkosten je 
Auftrag): 55,00 

Parameter 3 (ehemals Kosten je Km): 
0,95 

Parameter 4 (ehemals Kosten je Stun- 
de): 5,00 

Parameter 5 (ehemals Extrakosten je 
Überstunde): 52,50 

Parameter 6 (ehemals Kosten je Über- 
nachtung): 212,00 

Parameter 7 (ehemals Fahrgeschwin- 
digkeit): 80 

Parameter 8 (ehemals Arbeitsge- 
schwindigkeit): 150 


wird dem Betroffenen kaum weiter- 
helfen, solange er den Algorithmus und 
damit das Zusammenspiel der Parameter 
nicht kennt. 

Hier setzt sich das Problem fort. Wie 
kann man Betroffenen erläutern, wie 


der Algorithmus arbeitet? Und wer kann 
das tun? Die ABC AG, die das Tourenpla- 
nungssystem einsetzt, kennt den Algo- 
rithmus vielleicht selber gar nicht, und 
der Systemanbieter verrät nichts, weil 
er das mühsam ausgetüftelte Rechen- 
verfahren als sein Betriebsgeheimnis 
betrachtet. Ein spezieller Fall liegt vor, 
wenn dem eingesetzten Algorithmus 
ein neuronales Netz zu Grunde liegt, das 
zuvor an Beispielen trainiert wurde und 
dessen Verhalten von möglicherweise 
Tausenden „erlernter”“ Sensitivitätspa- 
rameter zwischen 0 und 1an den Synap- 
sen gesteuert wird. Dann kann tatsäch- 
lich niemand, auch nicht der Systembe- 
treiber, erklären, wie der Algorithmus 
im Einzelfall funktioniert. Aber selbst 
wenn der Algorithmus der verantwortli- 
chen Stelle bekannt wäre, würde es ihr 
normalerweise schwerfallen ihn bei ei- 
nem Auskunftsersuchen so zu beschrei- 
ben, dass der Betroffene, vielleicht ein 
Informatik-Laie, das Berechnungsver- 
fahren in allen wesentlichen Aspekten 
versteht. 

Wenn man - wie oben erwogen - unter 
Richtigkeit eines Parameters oder einer 
gemeinsam wirkenden Gruppe von Para- 
metern die Eignung für die Berechnung 
eines richtigen Ergebnisses, im Falle der 
Tourenplanung eines optimalen Touren- 
plans versteht, kommen zwei weitere 
Schwierigkeiten dazu. Zum einen kann 
die Suboptimalität eines Tourenplans 
neben ungeschickt gewählten Parame- 
tern noch ganz andere Gründe haben, 
z.B. schlicht einen mangelhaften Algo- 
rithmus. Zum andern wäre zu klären, 
was „optimal“ eigentlich heißen soll. 
Die Beurteilung des Ergebnisses ist in 
vielen Fällen subjektiv. 


Transparenz über personenbezogene 
Auswertungen nach der DSGVO 


Die in der DSGVO verankerten In- 
formations- und Korrekturrechte der 
Betroffenen richten sich primär auf 
Umfang und Inhalt der gespeicherten 
Daten und auf ihre Weitergabe. Zur In- 
formation über die Auswertungen per- 
sonenbezogener Daten enthält die DS- 
GVO im Grunde nur eine einzige Rege- 
lung, die auch nur in besonderen Fällen 
greift.?Sie gilt nämlich nur dann, wenn 
die betroffene Person „einer ausschließ- 
lich auf einer automatisierten Verarbei- 
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tung beruhenden Entscheidung unterwor- 
fen [wird], die ihr gegenüber rechtliche 
Wirkung entfaltet oder sie in ähnlicher 
Weise erheblich beeinträchtigt” [Art. 22 
Abs. 1 DSGVO] oder wenn die Entschei- 
dungen auf besonderen Kategorien per- 
sonenbezogener Daten nach Art. 9 Abs. 1 
DSGVO beruhen, also auf Daten über die 
Gesundheit, sexuelle Orientierung, re- 
ligiöse Überzeugungen usw. [Art. 22 
Abs. 4DSGVO]. In diesen Fällen haben die 
Betroffenen ein Recht auf „aussagekräf- 
tige Informationen über die involvierte 
Logik sowie die Tragweite und die ange- 
strebten Auswirkungen einer derartigen 
Verarbeitung für die betroffene Person“ 
[gem. Artt. 13 Abs. 2 üt. fund 14 Abs. 2 
lit. q DSGVO bei der Datenerhebung bzw. 
gem. Art. 15 Abs. 1lit. hDSGVO bei einem 
Auskunftsersuchen der Betroffenen]. 

Ob unsere oben betrachteten Beispie- 
le für die Auswertung personenbezoge- 
ner Daten die Voraussetzungen für den 
Informationsanspruch der Betroffenen 
auslösen, ist nicht offensichtlich. So 
können die errechneten Touren bei 
der ABC AG nachträglich sozusagen 
von Hand verändert werden, über die 
Kreditvergabe und die Einstellung von 
Stellenbewerbern entscheidet letztlich 
ein Mensch. Und wenn jemand auf- 
grund seiner Surf-Spuren im Internet 
bestimmte Werbung erhält, führt das 
nicht unbedingt zu einer Beeinträch- 
tigung, die einer rechtlichen Wirkung 
vergleichbar wäre. Weil die automatisch 
erzielten Berechnungsergebnisse aber 
in der Praxis prägenden Einfluss auch 
auf die menschlichen Entscheidungen 
haben und weil die Grenzen zwischen 
Belästigung und Beeinträchtigung flie- 
ßend sind, sollten die Voraussetzun- 
gen für die Informationspflicht weiter 
gefasst werden. Wie weit, wäre eine 
ausführlichere Betrachtung wert, bei 
der man - analog zu den Daten - eine 
uneingeschränkte Informationspflicht 
nicht ausschließen sollte. 

Der Inhalt der Auskunftspflicht bleibt 
mit der Formulierung über die „invol- 
vierte Logik“ der Verarbeitung unscharf. 
Inwieweit sich die „involvierte Logik” 
vom eigentlichen Algorithmus unter- 
scheidet, ob ihre Darstellung vielleicht 
gröber sein kann als die des Algorithmus 
selbst und wann man Informationen da- 
rüber „aussagekräftig“ nennen kann, 
bleibt offen. Bemerkenswert ist aller- 
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dings die Pflicht zur Information auch 
über die „Tragweite und die angestreb- 
ten Auswirkungen“ für die Betroffenen, 
weil damit jenseits der technisch-opera- 
tiven Abläufe eines Auswertungsalgo- 
rithmus wichtige pragmatische Aspekte 
des Anwendungskontextes dargestellt 
werden müssen. 

Ein direktes Pendant zum Korrektur- 
anspruch bei unrichtigen Daten kennt 
die DSGVO im Hinblick auf „unrichtige” 
Algorithmen nicht. In manchen Fäl- 
len aber garantiert sie den Betroffenen 
- wiederum auf der Ebene des Anwen- 
dungskontextes - „das Recht auf Erwir- 
kung des Eingreifens einer Person seitens 
des Verantwortlichen, auf Darlegung des 
eigenen Standpunkts und auf Anfech- 
tung der Entscheidung“ [Art. 22 Abs. 3 
DSGVO], so dass die Betroffenen zumin- 
dest eine Chance haben die auf dem 
Algorithmus fußende Entscheidung zu 
beeinflussen. 


Fazit 
Wir stellen zusammenfassend fest: 


1. Einige IT-Systeme verarbeiten perso- 
nenbezogene Daten, die für sich ge- 
nommen, also auf der semantischen 
Ebene, keine Bedeutung haben, deren 
pragmatische Bedeutung aber darin 
liegt, wie sie als Eingabeparameter 
Algorithmen und deren Ergebnisse 
beeinflussen. Die Berechnungsergeb- 
nisse solcher Systeme können für die 
Betroffenen von hoher Relevanz sein. 
Selbst wenn die Parameter eines Pro- 
gramms eine semantische Bedeutung 
haben, kommt meist eine wichtige 
pragmatische Bedeutung dazu. 

.Um die gebotene Transparenz für die 
Betroffenen zu schaffen, muss auch 
über die pragmatische Bedeutung der 
über sie gespeicherten Daten Aus- 
kunft erteilt werden, d.h. über die 
eingesetzten Algorithmen und ihre 
Nutzung. 

.Auskunft über die Algorithmen zu 
erteilen, stößt - zumindest in den 
interessanten, nicht-trivialen Fällen 
- auf massive Schwierigkeiten. Diese 
liegen in der Komplexität bei zugleich 
fehlenden Methoden für eine leicht 
verständliche Darstellung der Zusam- 
menhänge, bei „lernenden” Algorith- 
men in der systematisch bedingten 


m 


w 


Undurchschaubarkeit, manchmal auch 
im Rechtsschutz für Betriebsgeheim- 
nisse. 

4.Die Richtigkeit von Daten auf der 
pragmatischen Ebene ist im Allge- 
meinen nicht objektiv, oftmals auch 
gar nicht zu bestimmen. Ein Korrek- 
turanspruch ist schon konzeptionell 
schwer zu fassen. 


Was folgt daraus? Die Tatsache, dass 
für die Wahrung der Persönlichkeits- 
rechte nicht nur die Verfügbarkeit per- 
sonenbezogener Daten in IT-Systemen 
kritisch ist, sondern erst recht die Art 
ihrer Auswertung und weiteren Ver- 
wendung, ist eigentlich offenkundig. 
Man muss ihr aber im Hinblick auf das 
Transparenzgebot samt Auskunfts- und 
Korrekturanspruch mehr Aufmerksam- 
keit schenken und auch tatsächlich viel 
mehr Rechnung tragen. Dass eine in 
diesem Sinne umfassendere Auskunfts- 
erteilung schwierig ist, ändertnichts an 
ihrer Erforderlichkeit. 

Schon die konventionelle Einzelaus- 
kunftüber gespeicherte Daten und ihren 
Inhalt ist oft wegen der großen Daten- 
mengen schwierig. Doch auch hier gilt 
der Anspruch auf vollständige Auskunft 
ohne Einschränkungen. In der Praxis 
hilft sowohl der verantwortlichen Stelle 
als auch den Betroffenen eine gestufte 
Vorgehensweise, bei derin einem ersten 
Schritt zur Orientierung relativ grobe 
Datenkategorien beschrieben werden, 
während eine Information im Detail erst 
in einem zweiten Schritt folgt, nachdem 
der Betroffene den Schwerpunkt seines 
Auskunftsinteresses eingrenzen konn- 
te. Eine ähnliche Stufung vom Groben 
zu den Einzelheiten könnte die Schwie- 
rigkeiten auch bei der Auskunft über die 
Auswertung der Daten lindern. 

Wie bei den Daten darf es eine Ver- 
weigerung der Auskunft zur Funktio- 
nalität der Algorithmen - notfalls auch 
im Detail - nicht geben. Das gilt zu- 
mindest dann, wenn die Verarbeitung 
der personenbezogenen Daten einen 
maßgeblichen Einfluss auf unmittelba- 
re Folgen für die Betroffenen hat, sei 
es ein Dienst- oder Tourenplan, sei es 
ein Kreditangebot. Dann müssen die 
Algorithmen auf Anfrage offengelegt 
werden. Verantwortliche Stellen kön- 
nen sich nicht dadurch aus der Affäre 
ziehen, dass ein Dienstleister die Be- 
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rechnungen ausführt und die Verfahren 
nicht bekanntgibt. Die verantwortliche 
Stelle bleibt verantwortlich und muss 
auskunftsfähig bleiben. Sie darf solche 
„geheimnisvollen“ Dienstleister dann 
nicht beauftragen. Auch sie selbst darf 
keine per se intransparenten Verfahren 
etwa auf der Basis von neuronalen Net- 
zen einsetzen. Für kritische Entschei- 
dungen müssen undurchschaubare Al- 
gorithmen tabu sein. 

Selbst bei bestem Willen bleibt es ob- 
jektiv schwierig die Arbeitsweise oftmals 
raffinierter Algorithmen verständlich zu 
beschreiben. Auch bei einer schrittwei- 
sen Verfeinerung der Auskunft von gro- 
ben Systemkomponenten über Funkti- 
onsblöcke zu Einzelfunktionen wird es 
nicht jedem Betroffenen möglich sein 
die für ihn wesentlichen Aspekte des 
Programmablaufs zu verstehen also ins- 
besondere die Kriterien für die Berech- 
nung einer Entscheidungsempfehlung 
zu erkennen und ihre Wichtung mög- 
licherweise als unangemessen anzu- 
greifen. Der Anspruch auf Transparenz 
über die Technik ist deshalb aber nicht 
obsolet. In wichtigen Fällen können be- 


Heinz Alenfelder 


troffene Laien die Hilfe von Fachleuten 
in Anspruch nehmen. Das ist in vielen 
anderen Zusammenhängen gang und 
gäbe. Man fragt Rechtsanwälte, Steu- 
erberater, Automechaniker und Ärz- 
te, wenn man Zusammenhänge selbst 
nicht überschaut. Standard-Algorith- 
men können in der Fachöffentlichkeit 
untersucht, beschrieben und beurteilt 
und für die allgemeine Öffentlichkeit er- 
läutert werden, wie es zum Beispiel bei 
Verschlüsselungsverfahren geschieht. 
Der in der DSGVO angelegte Ansatz 
Transparenz und Selbstbestimmung auf 
der Ergebnisseite zu stützen, bleibt gut 
und richtig. Der Anspruch darauf die 
Ergebnisse der Berechnungen zu erfah- 
ren, gegenüber einem Menschen kom- 
mentieren und wo möglich die abzulei- 
tenden Konsequenzen zu beeinflussen, 
sollte sogar eher die Regel als die Aus- 
nahme in eng umgrenzten Sondersi- 
tuationen sein. Ein Bankkunde sollte 
eine Chance haben die Verhandlungen 
über Kreditkonditionen mit inhaltlich 
vernünftigen Argumenten auszuhan- 
deln, egal, auf welchen Wegen irgend- 
ein Bonitäts-Score errechnet wurde. Ein 


Außendienst-Techniker sollte nicht nur 
ein Mitspracherecht über die Eingabe- 
parameter Arbeitsgeschwindigkeit und 
Reisegeschwindigkeit haben, sondern 
er sollte jeden errechneten Tourenplan 
ablehnen, mit dem Disponenten unter 
verschiedensten inhaltlichen Gesichts- 
punkten diskutieren und einvernehm- 
lich ändern können. Schließlich geht 
es bei den Berechnungsergebnissen oft 
nicht so sehr um richtig oder falsch, 
sondern eher um Fairness, und die kön- 
nen die meisten Betroffenen auch ohne 
Informatik-Kenntnisse kompetent be- 
urteilen. 


1 Allein die Minimierung der Fahrstrecke 
istin der Informatik unter dem Begriff 
des Travelling-Salesman-Problems be- 
kannt und anerkanntermaßen als hoch 
komplex einzustufen. 


2 Bemerkenswerterweise sieht die DSGVO 
im Verzeichnis der Verarbeitungstätig- 
keiten gemäß Art. 30 nur Angaben zu 
den verarbeiteten Datenkategorien, zu 
Datenempfängern und Löschfristen vor, 
nicht aber zu den Auswertungen oder 
Verknüpfungen der Daten. 


Gedanken zum Datenschutz für „nicht mehr beschäf- 
tigte” Rentner:innen 


Irgendwann ist es soweit: Aus dem 
Beschäftigtenstatus wird - mehr oder 
weniger schnell - der des Status „In 
Rente“. Zwar müssen bzw. dürfen einige 
Daten aus dem alten Beschäftigungs- 
verhältnis beim Arbeitgeber verbleiben, 
doch tun sich durchaus neue Problem- 
felder für die Renter:innen auf. Einige 
praktische Aspekte sollen im folgenden 
Text zumindest angerissen werden. 


Dienstliche E-Mails, Netzwerk und 
Webseite des Arbeitgebers 


Mit dem Ende des Arbeitsverhältnis- 
ses endet die Zugehörigkeit zum Betrieb 
des Arbeitgebers und damit in der Regel 
die Gültigkeit einer entsprechenden E- 
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Mail-Adresse. Der Arbeitgeber behält das 
Recht an den dienstlichen E-Mails, un- 
abhängig von der Erlaubnis die E-Mail- 
Adresse auch für private Zwecke nutzen 
zu können. Alle privaten E-Mails und E- 
Mail-Kontakte können und sollten also 
vor dem Ende des Arbeitsverhältnisses 
gelöscht werden. Außerdem empfiehlt 
es sich eine private E-Mail-Adresse an 
diejenigen Kolleg:innen weiterzugeben, 
mit denen ein Austausch weiterhin ge- 
wünscht ist. Wenn seitens des Betriebs 
eine aktive Ehemaligen-Betreuung statt- 
findet, muss der dabei stattfindenden 
Datenverarbeitung personenbezogener 
Daten getrennt zugestimmt werden. 

Zum Abschied ist auch die Frage zu 
stellen, ob der Account bei einem der 


auf berufliche Kontakte ausgerichte- 
ten sozialen Netzwerke, wie Xing oder 
LinkedIn, bestehen bleiben soll - und 
vor allem mit welchen Informationen 
die Besucher:innen der dortigen Sei- 
te in Zukunft versorgt werden. Darü- 
ber hinaus ist es durchaus sinnvoll die 
Webseite des (früheren) Arbeitgebers 
daraufhin zu überprüfen, ob der eigene 
Name dort noch auftaucht, etwa bei den 
„leammitgliedern“. 


Private E-Mails, soziale Netzwerke 
und Kontakte 


Mit dem Ablauf der dienstlichen E- 


Mail-Adresse - so dachte und hoffte 
manch ein:e Pensionär:in vielleicht - 
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wird auch der Zufluss der Spam-Mails 
versiegen. Weit gefehlt: Ab jetzt gibt es 
keine:n Administrator:in mehr, der oder 
die dafür sorgen kann, dass die Mail- 
box sauber bleibt. Oft muss das E-Mail- 
Programm „trainiert“ werden, so dass es 
Spam-Mails automatisch in einen spezi- 
ellen Ordner ablegt oder sofort löscht. 
Außerdem ist zu überlegen, ob sich das 
Anlegen mehrerer privater E-Mail-Ad- 
ressen lohnt, die dann für die verschie- 
denen Interessenbereiche genutzt wer- 
den. Der E-Mail-Dienst posteo.de (siehe 
auch DANA 1/2022 5. 11 ff.) bietet stan- 
dardmäßig drei E-Mail-Adressen für den 
Basisaccount und weitere gegen einen 
kleinen Aufpreis an. Bei konsequenter 
Zuordnung der Adressen kann auch die 
Spam-Häufigkeit getrennt betrachtet 
werden. Hoffentlich wächst in diesem 
Feld im Laufe der Zeit das Serviceange- 
bot für die älteren Generationen. 
Soziale Kontakte können nach dem 
Ende aller Beschäftigungsverhältnisse 
intensiviert werden. Hier heißt es dann 
allerdings ganz stark zu bleiben, wenn 


Thilo Weichert 


die jeweilige „Community“ statt zum Te- 
lefon zu greifen Termine nur noch über 
Doodle oder in der WhatsApp-Gruppe 
absprechen will. Selbst wenn bisher die 
Zeit dafür gefehlt hat, wäre jetzt ein 
Umstellen und eine intensive Werbung 
für Alternativen wie nuudel, Signal 
oder Threema angebracht. Gerade die- 
jenigen, denen im Beschäftigungsver- 
hältnis der Aufwand zu groß war sich 
mit alternativer Software auseinander- 
zusetzen, sind jetzt berufen sich zu in- 
formieren und vielleicht sogar Beratung 
für ihre Freund:innen anzubieten. 

Das Rentner:innen-Dasein lässt be- 
kanntlich Zeit für Vieles. Wer jetzt etwa 
daran geht eine Münz- oder Briefmar- 
kensammlung zu starten oder auch 
eine früher begonnene Sammlung zu 
vervollständigen, erliegt vielleicht der 
Werbung, die sich speziell an die älteren 
Generationen richtet: Vom Treppenlift 
über Goldmünzen und -medaillen bis 
zu verschreibungsfreien Medikamenten 
und „Kaffeefahrten” - all dies wird be- 
worben. Es kann ganz einfach nicht nur 


über das Internet, sondern weiterhin 
per Post - oft zur Probe mit Rückgabe- 
recht - bestellt werden. Nur ganz, ganz 
klein gedruckt findet sich in der Regel 
der Hinweis, dass danach auch der Wei- 
terverarbeitung der Daten widerspro- 
chen werden kann. Und wer das nicht 
tut, muss sich nicht wundern, nach 
Kündigung des Münzsammelabonne- 
ments irgendwann die neueste Erfin- 
dung der Hörgeräteakustik angeboten 
zu bekommen. Hier heißt es: Augen auf 
noch vor dem Kauf! 

Insgesamt bleibt festzustellen, dass 
mit dem Ende aller Beschäftigungsver- 
hältnisse die Verantwortung für den 
korrekten Umgang mit den eigenen 
personenbezogenen Daten viel Arbeit 
bedeuten kann. 

Bereits Wilhelm Busch beschrieb dies 
eindrucksvoll, als er dichtete: 


„Meist in Wagen, die nicht federn, 
Selten nur auf Gummirädern 

Fährt der Mensch durch diese Welt, 
Bis erin den Graben fällt.” 


TADPF-Datenaustausch mit den USA bleibt „Rohrkrepierer” 


Vorausgegangen waren 2000 „Safe 
Harbor“ und 2016 das „Privacy Shield“, 
um einen „rechtssicheren“ Datenaus- 
tausch Europas mit den USA zu gewähr- 
leisten. Diese Konstrukte wurden vom 
Europäischen Gerichtshof (EuGH) mit 
seinen Urteilen vom 06.10.2015! und 
vom 16.07.2020? aufgehoben. Das obers- 
te europäische Gericht stellte jeweils 
fest, dass die Beschlüsse der Europäi- 
schen Kommission, die den Datentrans- 
fer von Europa in die USA erlaubten, 
wenn sich die US-Firmen einer Selbstzer- 
tifizierung unterwerfen, gegen die euro- 
päische Grundrechte-Charta verstießen, 
insbesondere gegen das dort in Art. 8 
garantierte Grundrecht auf Datenschutz 
und die Rechtsschutzgarantie in Art. 47. 
Gründe für diesen Verstoß sah der EuGH 
viele: Es besteht in den USA kein den 
europäischen Standards entsprechendes 
Datenschutzrecht. Besonders proble- 
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matisch ist, dass - wie Edward Snow- 
den 2013 offenlegte - US-Behörden 
verdachtsunabhängig Massendaten 
abschöpfen und diese u.a. für Geheim- 
dienst- und Sicherheitszwecke nutzen. 
Eine unabhängige Datenschutzaufsicht 
ist nicht gesichert, ebenso wenig die 
Transparenz für die Betroffenen und die 
Möglichkeit gegen die unberechtigte 
Datenverarbeitung vor einem unabhän- 
gigen Gericht vorzugehen. Die Aufhe- 
bung von Safe Harbor und Privacy Shield 
hatte jeweils der Datenschutzaktivist 
Max Schrems - mittlerweile von der Or- 
ganisation noyb? - beim EuGH erstritten, 
zum Unbehagen der EU-Kommission, der 
US-Regierung und vieler US-Firmen, die 
Daten von Europäern in den USA verar- 
beiten - allen voran IT-Großkonzerne. 
Von diesen Datentransfers betroffen sind 
Daten von Social-Media-Anbietern, etwa 
von Meta (Facebook, WhatsApp, Insta- 


gram), Suchmaschinen (Bing, Google 
Search), Cloud-Dienstleistern wie Sales- 
force oder Amazon Web Services (AWS), 
Softwareanbietern wie Google, Microsoft 
oder Apple und Online-Händlern wie 
Amazon. 

Um diesen rechtswidrigen Zustand 
schnellstmöglich wieder zu beseitigen, 
hatten sich EU-Kommissionspräsidentin 
Ursula von der Leyen und US-Präsident 
Joe Biden im März 2022 darauf verstän- 
digt eine neue Vereinbarung zum Daten- 
transfer abzuschließen.‘ Mehr als sechs 
Monate später gab Biden bekannt, er 
habe eine „Exekutive Order”? unterzeich- 
net, mit der die US-Massenüberwachung 
eingeschränkt und rechtliche Gegenwehr 
hiergegen ermöglicht werde. Diese Ver- 
waltungsanordnung sollnach dem Willen 
der EU-Kommission zentraler Bestandteil 
eines neuen Angemessenheitsbeschlus- 
ses zum Datentransfer sein. Es werde ein 
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sicherer Datenfluss und angemessener 
Datenschutz gemäß den EuGH-Vorgaben 
auf einer dauerhaften und verlässlichen 
Rechtsgrundlage gewährleistet. Der 
Name des Abkommens wurde - sperriger 
als zuvor - auf „Trans-Atlantic Data Pri- 
vacy Framework“ (TADPF) festgelegt. Für 
viele ist das TADPF aber nichts anderes 
als ein Safe Harbor III oder ein Privacy 
Shield II. Ende 2022 soll das Abkommen 
stehen.‘ 

Betrachtet man den neuen Rechts- 
rahmen genauer, so erweist sich die- 
ser als nicht viel mehr als ein erneuter 
Etiketten-Schwindel. Geändert werden 
weniger die Inhalte als die Begriffe: Die 
Massenüberwachung durch US-Geheim- 
dienste, allen voran durch die National 
Security Agency (NSA), soll nicht mehr 
„maßgeschneidert”, sondern „verhält- 
nismäßig” und „notwendig“ sein. An 
der Praxis soll sich - soweit ersichtlich 
- nichts ändern. Und genau diese wur- 
de vom EuGH als unverhältnismäßig 
verworfen. Mit der durch Art. 47 der 
Grundrechtecharta geforderten Rechts- 
behelfsmöglichkeit wird ähnlich leicht- 
fertig umgegangen: Für die Rechtskon- 
trolle soll ein „Data Protection Review 
Court” zuständig sein. Dabei handelt 
es sich aber nicht - was der Begriff na- 
helegt - um ein unabhängiges Gericht, 
sondern um eine Verwaltungseinrich- 
tung, die den früheren Ombudsman 
ersetzen soll. Die Prüfung des „Courts” 
soll auch nicht in eine für die Beschwer- 
deführer transparente Entscheidung 
münden, sondern in die karge Aussage, 
dass keine Datenschutzverletzung fest- 
gestellt wurde - oder vielleicht doch. 

Noch nicht im Ansatz erkennbar ist, 
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dass und wie die Forderungen nach 
Zweckbindung und nach Betroffenen- 
rechten bei den sich selbst zertifizie- 
renden Unternehmen gesichert sein 
werden. Die Grundsätze des TADPF 
entsprechen den veralteten von Safe 
Harbor und bleiben weit hinter der 
DSGVO zurück. Versuche, das US-Da- 
tenschutzrecht nach europäischem 
Vorbild zu verbessern, gab es schon 
einige. Doch selbst das als fortschritt- 
lichstes US-Gesetz gepriesene Recht in 
Kalifornien bleibt in wesentlichen Fra- 
gen - z.B. beim Auskunftsanspruch - 
weit hinter EU-Standards zurück. Dies 
gilt auch für die Datenschutzaufsicht, 
die weder unabhängig noch Rechts- 
schutz gewährend ausgestaltet ist. Die 
Gründe hierfür liegen tief, da die US- 
Verfassung, die US-Einwohnern nur ei- 
nen reduzierten Datenschutz gewährt, 
für europäische Betroffene überhaupt 
keine Garantien gibt.’ 

Max Schrems hat schon angekündigt, 
dass er auch einen TADPF-Beschluss der 
EU-Kommission angreifen wird.® Ändert 
sich an dem absehbaren TADPF-Rahmen 
nichts massiv und auch nichts an der 
Position des EuGH - beides ist nicht 
absehbar - dann wird auch der neue Be- 
schluss aufgehoben werden. 

Was bedeutet dies nun für die Ver- 
arbeitung von Daten in den USA? Zu- 
nächst ist offensichtlich, dass weiterhin 
keine Rechtssicherheit besteht. Am 
zuverlässigsten für eine konzerninter- 
ne Datenverarbeitung wären verbindli- 
che Unternehmensrichtlinien (Binding 
Corporate Rules - BCR), die nicht von 
der EU-Kommission, sondern von den 
Aufsichtsbehörden zu genehmigen sind 


(Art. 47 DSGVO). Diesen Weg gehen ei- 
nige, vor allem europäische Konzerne.’ 
Ein Vorteil der BCR liegt darin, dass sie 
weltweit angewendet werden können. 
Praktisch alle großen US-Konzerne nut- 
zen derzeit keine BCR. Der Grund ist 
banal und zugleich entlarvend: Diese 
müssten sich gegenüber der unabhängi- 
gen Datenschutzaufsicht ausdrücklich 
auf verbindliche Datenschutzstandards 
verpflichten. Das wollen Meta, Alphabet 
& Co. nicht - trotz allem von ihnen ver- 
breiteten Datenschutzgesäusel. 

Sie verwenden sog. Standarddaten- 
schutzklauseln. Diese hat der EuGH in 
seiner Schrems-II-Entscheidung nicht 
grundsätzlich verworfen. Wohl aber 
hat das Gericht klargestellt, dass in 
den Anhängen zu den Klauseln konkret 
benannt werden muss, durch welche 
technisch-organisatorischen Maß- 
nehmen und vor allem durch welche 
verfahrensmäßigen Vorkehrungen ein 
angemessenes Datenschutzniveau ge- 
schaffen wird. Die bisher durchgängig 
verwendeten salbungsvoll klingenden, 
aber allgemein bleibenden Zusicherun- 
gen genügen jedenfalls nicht. 

Eine in die richtige Richtung gehen- 
de Problemlösung kann auch darin be- 
stehen, dass die Datenverarbeitung des 
US-Unternehmens räumlich in der EU 
erfolgt. So sind etwa entsprechende 
Zusicherungen von AWS, Google oder 
Microsoft möglich. Dadurch wird der Zu- 
griff von US-Behörden erschwert, auch 
wenn er nicht völlig ausgeschlossen 
ist: Im US-Recht ist vorgesehen, dass 
in den USA ansässige Unternehmen wie 
auch deren Töchter in Europa verpflich- 
tet werden können auch ihre in der EU 
gespeicherten Daten herauszugeben 
- so der Foreign Intelligence Surveil- 
lance Act (FISA), der Patriot Act und der 
CLOUD-Act. Daher sind entsprechende 
Zusicherungen mit einem Verfahren zu 
hinterlegen, das die Überprüfung even- 
tuell erfolgender Datenherausgaben er- 
möglicht. Die Rechtsprechung der nati- 
onalen Gerichte zur Datenverarbeitung 
durch US-Unternehmen in Europa ist 
noch völlig uneinheitlich." 

Der weitere Ablauf ist absehbar: Die 
Europäische Kommission wird das TAD- 
PF als angemessen i.S.v. Art. 45 DSGVO 
beschließen, obwohl der Europäische 
Datenschutzausschuss davon abrät. Es 
wird erneut zu einer Prüfung durch den 
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EuGH kommen - was wieder mindestens 
zwei Jahre dauern wird. Während dieser 
Zeit wird die Datenübermittlung in die 
USA auf der TADPF-Grundlage wieder als 
zulässig fingiert; danach wird diese Fik- 
tion wieder beseitigt sein. Vielleicht hat 
sich bis dahin der EuGH zu seinen spezi- 
fizierten Anforderungen an die Umset- 
zung der Standarddatenschutzklauseln 
geäußert. Klarheit haben bis dahin eini- 
ge Konzerne dadurch hergestellt, dass 
sie sich ihre BCR haben genehmigen 
lassen. Die Masse der US-Konzerne aber 
wird weiterhin ein illegales Geschäfts- 
modell mit einer Verarbeitung in den 
USA betreiben... 


1 EuGHU.v. 06.10.2015 - C-362/14 (Safe 
Harbor, Schrems I). 


2 EuGHU.v. 16.07.2020 - C-311/18 (Priva- 
cy Shield, Schrems II). 


3 none ofyour business, https://noyb.eu/ 
de. 


4 Joint Statement on Trans-Atlantic Data 
Privacy Framework, https://ec.europa. 
eu/commission/presscorner/api/ 
files/document/print/nl/ip_22_2087/ 
IP_22_2087_EN.pdf. 


5 https://noyb.eu/sites/default/ 
files/2022-10/ Biden%20E0%200n%20 
Surveillance%2C%20Structured.pdf. 


6 European Commission, Questions & 
Answers: EU-U.S. Data Privacy Frame- 
work, 07.10.2022, https://ec.europa. 
eu/commission/presscorner/detail/en/ 
qanda_22_6045. 


7 Siehe auch die Kritik von noyb, Erste 
Reaktion: Executive Order zur US-Uber- 
wachung reicht wohl nicht, 07.10.2022, 


Presseerklärung der DVD vom 06.09.2022 


https://noyb.eu/de/executive-order- 
zur-us-ueberwachung-reicht-wohl- 
nicht. 


8 Trans-Atlantic Data Privacy Framework: 
Bald Schrems-III? 13.10.2022, https:// 
www.dr-datenschutz.de/trans-atlantic- 
data-privacy-framework-bald-schrems- 
üi/. 

9 Die Liste der Unternehmen ist veröffent- 
licht unter https://edpb.europa.eu/our- 
work-tools/accountability-tools/bcr_en. 


10 Siehe dazu z.B. Vergabekammer Karls- 
ruhe v. 13.07.2022 einerseits und OLG 
Karlsruhe v.07.09.2022 andererseits, 
beides in diesem Heft, S. 283. 


DVD: „Wissings Digitalstrategie ist ein wert(e)loser 
Ankündigungskatalog” 


Die Deutsche Vereinigung für Daten- 
schutz e.V. (DVD) hat mit Erschrecken 
die am 31.08.2022 von Digitalminister 
Volker Wissing vorgelegte, so genannte 
Digitalstrategie der Bundesregierung zur 
Kenntnis genommen. Diese beschränkt 
sich darauf die im rot-grün-gelben Ko- 
alitionsvertrag verstreuten Absichtsbe- 
kundungen zu wiederholen und macht 
hierzu gar einige wesentliche Abstriche. 

Erschreckt ist die DVD über das, was 
in der Digitalstrategie nicht enthalten 
ist: Zwar werden Grundrechte und Da- 
tenschutz floskelhaft immer wieder er- 
wähnt, doch von einer „Strategie“ eines 
digitalen Grundrechtsschutzesistnichts 
zu erkennen, ebenso wenig, dass hieran 
in der neuen Bundesregierung gearbei- 
tet wird. So wird etwa ein Beschäftig- 
tendatenschutzgesetz angekündigt, 
ja es wird der Eindruck erweckt, das 
läge schon vor, tatsächlich aber ist das 
Projekt auf unbefristete Zeit verscho- 
ben. Das im Koalitionsvertrag ange- 
kündigte Forschungsdatengesetz wird 
ersetzt durch „Datenzugangsrechte für 
die Forschung (Forschungsklauseln)”, 
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was den gesetzlichen Flickenteppich 
vergrößern würde und die Forschungs- 
privilegierung der Datenschutz-Grund- 
verordnung, die einher gehen muss 
mit Schutzgarantien, ignoriert. Es wird 
von einem „gemeinsamen Datenhaus” 
einer „digitalen Polizei” schwadroniert 
ohne die seit Jahren überfälligen, vom 
Bundesverfassungsgericht geforderten 
Schutzmaßnahmen auch nur zu erwäh- 
nen, geschweige die im Koalitionsver- 
trag angekündigte „Überwachungsge- 
samtrechnung”. 

Von der „Zeitenwende“, in der sich die 
globale Digitalpolitik befindet, ist keine 
Rede, sondern inhaltslos von einer „di- 
gitalen Außenpolitik“: Dass der euro- 
päische digitale Grundrechtsschutz mit 
dem US-amerikanischen ungehinderten 
Ausbeuten von Kundendaten, den aus 
Russland kommenden Hackerattacken 
und der expansiv betriebenen chinesi- 
schen Überwachungspolitik vor einer 
gewaltigen Herausforderung steht, dem 
strategisch von der europäischen Politik 
entgegengewirkt werden muss, ist der 
„Strategie“ keine Erwähnung wert. 


DVD-Vorsitzender Frank Spaeing: „So 
richtig es sein mag, dass angesichts 
der vielfältigen Krisen und Bedrohun- 
gen für das Klima, für den Frieden und 
die Energieversorgung von der Bun- 
desregierung gerade andere politische 
Schwerpunkte gesetzt werden, so we- 
nig dürfen die Ministerialverwaltung 
und die digitalen Fachpolitiker ihre 
Hausaufgaben vernachlässigen. Das, 
was Herr Wissing hier vorgelegt hat, 
lässt nicht im Ansatz erkennen, dass 
die Regierung mit ihren Hausaufgaben 
begonnen hat. Es besteht die Gefahr, 
dass der Stillstand der Merkel-Regie- 
rungen bei der werteorientierten Digi- 
talpolitik unter Rot-Grün-Gelb nahtlos 
fortgesetzt wird.” Thilo Weichert vom 
DVD-Vorstand ergänzt: „Folgenlose 
Ankündigungspolitik haben wir lange 
genug gehabt. In Wissenschaft, Zivilge- 
sellschaft und in der Wirtschaft besteht 
das Fachwissen und das strategische 
Denken, das von der Politik endlich ab- 
gerufen werden und zu Umsetzungsak- 
tivitäten führen muss.” 
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Presseerklärung der DVD vom 04.10.2022 


DVD weist Spende aus rechtsmissbräuchlicher Google- 
Fonts-Abmahnung zurück 


Pseudo-Datenschützer instrumenta- 
lisieren Bürgerrechtsverein 


Am 28. September erreichte die Ge- 
schäftsstelle der Deutschen Vereinigung 
für Datenschutz e.V. (DVD) eine unge- 
wöhnliche E-Mail, in der nach der Kon- 
tonummer des DVD-Spendenkontos ge- 
fragt wurde. Am nächsten Tag landeten 
3060 € eines Martin Ismail aus Hanno- 
ver auf dem Konto der als gemeinnützig 
anerkannten Bürgerrechtsorganisation, 
die sich seit über 40 Jahren für mehr 
Datenschutz engagiert, verbunden mit 
einer weiteren E-Mail, man möge bitte 
eine Spendenquittung ausstellen, so 
dass diese Spende steuerlich abgesetzt 
werden kann. 

Eine Recherche der DVD ergab, dass 
sich hinter der „Spende“ eine „Inter- 
essengemeinschaft Datenschutz” (IG 
Datenschutz) verbirgt, die sich auf ih- 
rer Webseite https://igdatenschutz. 
de der DVD-Spende rühmte mit der Be- 
hauptung, die DVD verfolge „ein sehr 
ähnliches Ziel wie die IG Datenschutz, 
weswegen wir mit Spenden ihr Arbeit 
unterstützen möchten” (Rechtschreib- 
fehler im Original). 

Eine Internetsuche ergab, dass die 
„1G Datenschutz” sich das überwiesene 
Geld von hunderten, vielleicht sogar 
tausenden Webseitenbetreibern er- 
presst hatte, die - wohlin datenschutz- 
rechtlicher Unkenntnis - auf ihrer Sei- 
te Google-Fonts, ein Schriftartenange- 
bot, als Cloud-Angebot eingebunden 
hatten. Ismail und sein Rechtsanwalt 
Kilian Lenard aus Berlin mahnen seit 
August massenhaft Webseitenbetrei- 
ber ab und fordern von ihnen z.B. 
170 € Schadenersatz dafür, dass durch 
den Webseitenbesuch die personenbe- 
zogenen Daten von Herrn Ismail un- 
zulässigerweise in die USA übermittelt 
worden seien. Gerechtfertigt wird die 
Forderung mit einem Gerichtsurteil, 
das einem Betroffenen in solch einem 
Fall einen Schadenersatz von 100 € 
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zusprach. Dieses offenbar höchst er- 
folgreiche Geschäftsmodell versucht 
die „IG Datenschutz“ nun durch publi- 
kumswirksame Spenden - nicht nur für 
die DVD, sondern auch für den „Deut- 
schen Kinderverein e.V.” - reinzuwa- 
schen. 

Hinter der „IG Datenschutz” verbirgt 
sich offenbar nichts anderes als der 
Herr Ismail und sein Berliner Rechts- 
anwalt mit einigen Mitstreitern. Die 
DVD reagierte umgehend und teilte der 
„LG Datenschutz” mit, dass die Spende 
zurückgewiesen werde. Sie forderte die 
„]G Datenschutz” auf die ehrverletzen- 
de Aussage, die DVD verfolge ein „sehr 
ähnliches Ziel”, umgehend von der Web- 
seite zu beseitigen. 

Richtig ist, dass sich die DVD auch im 
internationalen Datenverkehr mit den 
USA für das Datenschutzgrundrecht 
einsetzt und deshalb die rechtlich frag- 
würdige Einbindung von US-Angeboten 
auf europäischen Webseiten (wie die be- 
sagte Einbindung von Google Webfonts 
als Cloud-Angebot) kritisiert. 

DVD-Vorstandsmitglied Thilo Wei- 
chert: „Die DVD lehnt das als erpres- 
serisch empfundene Vorgehen der ‚IG 
Datenschutz’ ab. Hiermit wird das An- 
liegen des Datenschutzes diskreditiert; 
getroffen werden ‚die Kleinen’ und im 
konkreten Fall nicht Google, das sich 
mit dem Schriftartendienst ‚Google 


Fonts’ weltweit auf illegale Weise Daten 
der Webseitenbesucher besorgt, mit de- 
nen sein globales Werbenetzwerk ver- 
sorgt wird.” 

DVD-Vorsitzender Frank Spaeing er- 
gänzt: „Wir raten Abgemahnten drin- 
gend zu überlegen, ob sie auf die For- 
derungen des Duos Ismail-Lennard 
eingehen wollen. Deren Forderungen 
scheinen rechtsmissbräuchlich. Wir ra- 
ten aber ebenso den Abgemahnten auf 
ihrer Webseite die Online-Google-Fonts 
(sowie alle anderen rechtswidrig einge- 
bundenen Dienste) zu deaktivieren.” 

Die DVD weist darauf hin, dass die 
Google Fonts auch lokal eingebunden 
werden können, wodurch es nicht zu 
Datenübermittlungen in die USA und zu 
keiner Ausspionierung der Webseiten- 
besucher kommt, die Schriftarten aber 
dennoch genutzt werden können. An- 
leitungen zum Herunterladen der Fonts 
finden sich zahlreich im Netz. 

(siehe hierzu auch die Meldung in die- 
sem Heft aufS. 276). 


Weitere Informationen im Netz zu dem 
Vorgang finden Sie unter: 

« https://www.abofalle-anwalt.de/ 
kilian-lenard-martin-ismail-google- 
fonts/ 

« https://www.anwalt.de/rechtstipps/ 
abmahnung-martin-ismail-wegen- 
datenschutz-204782.html 
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Meldung in eigener Sache 


Registerveröffentlichungen 


Am 15.08.2022 veröffentlichte die 
Deutsche Vereinigung für Datenschutz 
(DVD) eine Presseerklärung „Online- 
Registerveröffentlichungen verstoßen 
gegen Datenschutz”, die auch in der 
DANA 3/2022, 177 (siehe auch die Mel- 
dung DANA 3/2022, 178) abgedruckt 
ist. Unsere Erklärung führte zu vielen 


Rückmeldungen - vor allem von Betrof- 
fenen, die sich gegen die Veröffentli- 
chung ihrer sensiblen Daten im zentra- 
len Vereinsregister oder Handelsregister 
zur Wehr setzen wollen. Der DVD geht es 
darum eine grundsätzliche Lösung zu 
finden, wozu alle politisch und rechtlich 
Verantwortlichen (Bund, Landesregie- 


Offener Brief gegen Chatkontrolle 


114 europäische und internationale 
Organisationen haben sich in einem of- 
fenen Brief an die EU-Kommission gegen 
die Pläne zur Chatkontrolle gewandt. 

Sehr geehrte EU-Kommissar.innen, 

wenn Sie die Funktionsweise des In- 
ternets grundlegend untergraben, ma- 
chen Sie es für alle weniger sicher. 

Wir schreiben Ihnen als 114 zivil- 
gesellschaftliche Organisationen und 
Gewerkschaften, die in den Bereichen 
Menschenrechte, Medienfreiheit, Tech- 
nologie und Demokratie im digitalen 
Zeitalter tätig sind. Gemeinsam fordern 
wir Sie auf die „Verordnung zur Festle- 
gung von Vorschriften zur Verhütung 
und Bekämpfung des sexuellen Miss- 
brauchs von Kindern” (CSA-Verord- 
nung) zurückzuziehen und eine mit den 
europäischen Grundrechten vereinbare 
Alternative vorzulegen. 

Es ist nicht möglich privat und si- 
cher zu kommunizieren und zugleich 
einen direkten Zugriff für Regierungen 
und Unternehmen einzurichten. Auch 
böswilligen Akteur.innen würden die 
Maßnahmen Tür und Tor öffnen. Eine 
sichere Internet-Infrastruktur, die freie 
Meinungsäußerung und Selbstbestim- 
mung fördert, ist nicht möglich, wenn 
Internetnutzer.innen einer allgemeinen 
Überprüfung und Filterung unterzogen 
werden können und ihnen Anonymität 
verweigert wird. 

Die vorgeschlagene CSA-Verordnung 
stuft Scanning- und Überwachungs- 


250 


technologien - trotz gegenteiliger Ex- 
pert.innenmeinungen - politisch als 
sicher ein. Sollte dieses Gesetz verab- 
schiedet werden, wird das Internet in 
einen Raum verwandelt, der die Privat- 
sphäre, die Sicherheit und die freie Mei- 
nungsäußerung aller Menschen gefähr- 
det.' Dies gilt insbesondere für Kinder 
und Jugendliche, die mit dieser Ver- 
ordnung eigentlich geschützt werden 
sollen. 

Die vorgesehenen Vorschriften wür- 
den Anbieter.innen sozialer Medien für 
die von ihren Nutzer.innen geteilten 
privaten Nachrichten haftbar machen. 
Das würde Plattformen dazu zwingen 
riskante und fehleranfällige Techniken 
anzuwenden, um jederzeit Kontrolle da- 
rüber zu haben, was wir alle tippen und 
teilen. In der Folgenabschätzung, die 
dem Verordnungsvorschlag beigefügt 
ist, werden Unternehmen angehalten 
Client-Side-Scanning einzusetzen, um 
ihre Nutzer.innen zu überwachen, wohl 
wissend, dass die Diensteanbieter.in- 
nen das aus Sicherheitsgründen skep- 
tisch sehen. Die Verordnung wäre ein 
noch nie dagewesener Angriff auf das 
Recht auf private Kommunikation und 
die Unschuldsvermutung. 

Nicht nur Erwachsene sind auf Pri- 
vatsphäre und Sicherheit angewiesen. 
Wie die Vereinten Nationen und UNICEF 
erklären, ist die Privatsphäre im Netz 
für die Entwicklung und Selbstverwirk- 
lichung junger Menschen von entschei- 


rung Nordrhein-Westfalen, Amtsgericht 
Neuss, Amtsgerichte generell, Notare) 
bisher nicht bereit zu sein scheinen. 

Die DVD kümmert sich weiterhin um 
das Problem, das sich aber als rechtlich 
äußerst komplex erweist. Über die Ak- 
tivitäten berichten wir auf unserer Web- 
seite www.datenschutzverein.de. 


dender Bedeutung. Sie sollten keiner 
Massenüberwachung ausgesetzt wer- 
den. Auch das britische Royal College 
of Psychiatrists weist darauf hin, dass 
es für Kinder schädlich ist sie auszuspi- 
onieren und dass Maßnahmen, die auf 
Selbstbefähigung und Bildung basie- 
ren, sie im Netz wirkungsvoller schüt- 
zen. 

Die CSA-Verordnung wird in vielerlei 
Hinsicht schweren Schaden anrichten: 
« Eine private Nachricht über die ei- 
gene Missbrauchserfahrung, die für 
einen vertrauenswürdigen Erwachse- 
nen gedacht ist, könnte automatisch 
markiert, von den Mitarbeiter.innen 
eines Social-Media-Unternehmens 
geprüft und dann zur Untersuchung 
an die Strafverfolgungsbehörden wei- 
tergeleitet werden. Das geschähe ge- 
gen den Willen der Betroffenen und 
verletzt ihre Würde. Das könnte Opfer 
davon abhalten sich Hilfe zu holen; 
Whistleblower.innen und Quellen, die 
anonym über Korruption in der Regie- 
rung berichten wollen, könnten sich 
nicht mehr auf Online-Kommunika- 
tionsdienste verlassen, da die Ende- 
zu-Ende-Verschlüsselung ausgehe- 
belt wäre. Bemühungen Machthaber. 
innen zur Rechenschaft zu ziehen, 
würden erheblich erschwert; 
Private intime Fotos jung aussehender 
Erwachsener, die diese rechtmäßig an 
ihre Partner.innen schicken, könnten 
von der KI fälschlich markiert werden, 
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Mitarbeiter.innen sozialer Medien an- 
gezeigt werden und dann an Strafver- 
folgungsbehörden geleitet werden; 
Solche unvermeidlichen Falschmel- 
dungen würden Strafverfolgungsbe- 
hörden überlasten, die bereits jetzt 
nicht über die Ressourcen verfügen 
alle Fälle zu bearbeiten. Sie müssten 
ihre begrenzten Kapazitäten darauf 
verwenden riesige Mengen recht- 
mäßiger Kommunikation zu sichten 
anstatt gefundenes Missbrauchsma- 
terial zu löschen und Verdächtige und 
Täter.innen zu verfolgen; 

Bisher sichere Messengerdienste, 

zum Beispiel Signal, wären gezwun- 

gen ihre Dienste technisch unsicher 
zu machen. Nutzer.innen hätten dann 
keine sichere Alternative mehr. Dies 
würde alle gefährden, die sich auf 
sichere Kommunikation verlassen: 

Anwältinnen, Journalisten, Men- 

schenrechtsverteidigerinnen, NGO- 

Mitarbeiter - einschließlich derer, die 

Opfern helfen -, Regierungsmitglie- 

der und viele andere. Wenn Dienste 

die Nachrichten weiterhin verschlüs- 
seln wollen, würden sie mit einer 

Geldstrafe in Höhe von sechs Prozent 

ihres weltweiten Umsatzes belegt oder 

gezwungen sich aus dem EU-Markt 
zurückzuziehen; 

Quellenschutz und die digitale Si- 

cherheit von Journalist.innen werden 

gefährdet, weil damit Ende-zu-Ende- 

Verschlüsselung abgeschafft würde. 

Außerdem wird die Pressefreiheit 

durch den „Chilling Effect” der Maß- 

nahmen eingeschränkt; 

Sobald diese Technologie eingeführt 

wäre, könnten Regierungen auf der 

ganzen Welt Unternehmen gesetzlich 
dazu verpflichten nach Beweisen für 
politische Opposition zu suchen, nach 

Aktivist.innen, gewerkschaftlichen 

Zusammenschlüssen und auch nach 

Menschen, die abtreiben lassen, wo 

Abtreibung kriminalisiert ist - also 

nach allem, was eine Regierung wo- 

möglich unterdrücken möchte; 

« Bereits entrechtete, verfolgte und 
marginalisierte Gruppen auf der gan- 
zen Welt wären von diesen Bedrohun- 
gen besonders betroffen. 


In den vergangenen Jahren ist die EU 
zum Vorreiter für das Menschenrecht 
auf Privatsphäre und Datenschutz ge- 
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worden und hat damit einen weltweiten 
Standard gesetzt. Doch mit der vorge- 
schlagenen CSA-Verordnung macht die 
Europäische Kommission eine Kehrt- 
wende in Richtung Autoritarismus, 
Kontrolle und Zerstörung der Freiheit 
im Netz. Dies wäre ein gefährlicher Prä- 
zedenzfall für weltweite Massenüberwa- 
chung. 

Zum Schutz der freien Meinungsäu- 
ßerung, der Privatsphäre und der Si- 
cherheit im Internet fordern wir, die 
unterzeichnenden 114 Organisationen, 
Sie als Mitglieder der Kommission auf 
die Verordnung zurückzuziehen. 

Wir fordern stattdessen zielgerichte- 
te, rechtmäßige und technisch mach- 
bare Alternativen, um das schwerwie- 
gende Problem des Missbrauchs von 
Kindern zu bekämpfen. Maßnahmen 
müssen der Selbstverpflichtung der EU 
„Digitalen Dekade” zu einem „sicheren 
und geschützten” digitalen Umfeld für 
alle entsprechen - das schließt Kinder 
und Jugendliche ausdrücklich ein. 


Unterzeichnende: 

Acces Now - International - Alternatif 
Bilisim (AiA-Alternative Informatik Ge- 
sellschaft) - International - Agora Asso- 
ciation - Türkei - APADOR-CH - Rumä- 
nien - ApTI Romania - Rumänien - ArGE 
Tübingen - Deutschland - ARTICLE19 - 
International - Aspiration - Vereinigte 
Staaten - Associacäo Portuguesa para a 
Promocäo da Seguranca da Informacäo 
(AP2SI) - Europa - Association for Sup- 
port of Marginalized Workers STAR-STAR 
Skopje - Republik Nordmazedonien - 
Attac Austria - Österreich - Aufstehn. 
at - Österreich - Arbeiterkammer Ös- 
terreich - Österreich - Berlin Strippers 
Collective - Deutschland - Big Brother 
Watch - Vereinigtes Königreich - Bits 
of Freedom - Niederlande - Bündnis für 
humane Bildung - Deutschland - Center 
for Civil and Human Rights (Poradha) 
- Slowakei - Center for Democracy & 
Technology - Europa - Chaos Computer 
Club - Deutschland - Centrum Cyfrowe - 
Europa - Bürger D / Drzavljan D - Slowe- 
nien - Civil Liberties Union for Europe 
- Europa - CloudPirat - Deutschland - 
Committee to Protect Journalists - EU/ 
International - comun.al- Lateinameri- 
ka - COMMUNIA Association for the Pu- 
blic Domain - Europa - D64 - Zentrum 
für Digitalen Fortschritt - Deutschland 


- Dataskydd.net - Schweden - Defend 
Democracy - International - Defend 
Digital Me - Vereinigtes Königreich - 
Democracy in Europe Movement 2025 
(DiEM25) - Europa - Deutsche Verei- 
nigung für Datenschutz e.V. (DVD) 
- Deutschland - DFRI - Schweden 
- Digital Advisor - Niederlande - Di- 
gitalcourage - Deutschland - Digitale 
Gesellschaft - Deutschland - Digitale 
Gesellschaft / Digital Society - Schweiz 
- Digitale Rechte Irland - Irland - Euro- 
päische Digitale Rechte (EDRi) - Europa 
- European Sex Workers’ Rights Alliance 
(ESWA) - Europa und Zentralasien - 
Electronic Frontier Finland - Finnland - 
Elektronisk Forpost Norge (EFN) - Nor- 
wegen - Electronic Frontier Foundation 
(EFF) - Vereinigte Staaten - Electronic 
Privacy Information Center (EPIC) - In- 
ternational - epicenter.works for digital 
rights - Österreich - Equipo Decenio Af- 
rodescendiente - Spanien - Eticas Foun- 
dation - International - Europäisches 
Zentrum für Non-Profit-Recht (ECNL) 
- Europa - Europäische Journalisten- 
vereinigung (EJF) - Europa - Fight for 
the Future - US/International - Fitug 
e.V. - Deutschland - Fundaciön Karis- 
ma - Kolumbien - The Foundation for 
Information Policy Research (FIPR) - 
Großbritannien/Europa - Global Forum 
for Media Development - International 
- GAT- Grupo de Ativistas em Tratamen- 
tos - Portugal - Gesellschaft für Bildung 
und Wissen e.V. - Deutschland - Hermes 
Center for Transparency and Digital Hu- 
man Rights - Italien - Homo Digitalis 
- Griechenland - Human Rights House 
Zagreb - Kroatien - imaniti.org - Tsche- 
chische Republik - iNGO European Me- 
dia Platform - Europa - International 
Press Institute (IPI) - International - 
Internet Governance Project - Interna- 
tional - Internet Society - International 
- Interpeer gUG (gemeinnützig) - Eu- 
ropa - Irischer Rat für bürgerliche Frei- 
heiten - Irland - ISOC Brazil - Brazilian 
Chapter of the Internet Society - Brasi- 
lien - Internet Society Catalan Chapter 
(ISOC-CAT) - Europa - ISOC UK England 
- Großbritannien - IT-Pol - Dänemark 
- Iuridicum Remedium, z.s - Tschechi- 
sche Republik - La Quadrature du Net 
- Frankreich - Ligue des droits humains 
- Belgien - LOAD e.V. - Deutschland - 
Lobby4kids - Kinderlobby- Österreich - 
Medienkompetenz Team e.V. - Deutsch- 
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land - Netherlands Helsinki Committee 
- Niederlande - Nordic Privacy Center 
- Nordische Länder - Norwegen Chap- 
ter der Internet Society - Norwegen 
- Norwegische Unix-Benutzergruppe 
- Norwegen - Österreichischer Rechts- 
anwaltskammertag - Österreich - Open 
Rights Group - Vereinigtes Königreich 
- quintessenz - Verein zur Wiederher- 
stellung der Bürgerrechte im Informati- 
onszeitalter - Österreich - Panoptykon 
Foundation - Polen - Peace Institute 
- Slowenien - PIC Amsterdam - Nieder- 
lande - Plattform Bürgerrechte - Nie- 
derlande - Presseclub Concordia - Ös- 
terreich - Privacy First - Niederlande 


- Privacy International - International 
- Ranking Digital Rights - International 
- Red Umbrella - Schweden - SaveThe- 
Internet - Europa - SekswerkExpertise 
- Niederlande - Sex Workers Alliance 
Irland - Irland - Sex Workers’ Empower- 
ment Network - Griechenland - SMEX - 
MENA - Social Media Exchange - Naher 
Osten und Nordafrika (MENA) - SZEXE 
- Verband der ungarischen Sexarbeite- 
rinnen - Ungarn - StatewatchEU - Eu- 
ropa - Stowarzyszenie Nasze Imaginari- 
um - Polen - Teckids e.V. - Deutschland 
- S.T.0.P. - The Surveillance Technology 
Oversight Project - Vereinigte Staaten 
- Stichting Stop Online Shaming - Nie- 


Presseerklärung vom 10.10.2022 


derlande - Voices4 Berlin - Internati- 
onal - Vrijschrift.org - Niederlande - 
Whistleblower-Netzwerk - Deutschland 
- Whose Knowledge? - International 
- Wikimedia - International - Wiki- 
media Deutschland e.V. - Deutschland 
- Women’s Link Worldwide - Europa - 
WorkerInfoExchange - International - 
Xnet - Spanien. 


Der englischsprachige Originaltext 
findet sich unter: 
https://chat-kontrolle.eu/wp- 
content/uploads/2022/06/Offener- 
Brief-EDRi-CSA-englisch.pdf 


Zivilgesellschaft gegen EU-Pläne zur Chatkontrolle 


Neben der Deutschen Vereinigung 
für Datenschutz richten sich aktuell 22 
zivilgesellschaftliche Organisationen 
in einem öffentlichen Aufruf gegen die 
Pläne der Europäischen Kommission zur 
massenhaften Überwachung von Kom- 
munikation und Onlineinhalten. 

Die Pläne würden massiv in die Grund- 
rechte der gesamten europäischen 
Bevölkerung eingreifen und eine dys- 
topische Überwachungsinfrastruktur 
etablieren. Statt tatsächlich den Schutz 
von Kindern, also Prävention und Opfer- 
schutz, in den Mittelpunkt ihrer Maß- 
nahmen zu stellen, setzt die Kommissi- 
on auf eine vermeintliche „technische” 
Lösung, die Überwachung in demokra- 
tiegefährdendem Umfang ermöglicht. 

Die Kampagne „Chatkontrolle stop- 
pen” wendet sich entschieden dagegen 
und fordert von den politisch dafür Ver- 
antwortlichen von diesen Plänen Ab- 
stand zu nehmen. 

Tom Jennissen, von der Digitalen Ge- 
sellschaft e.V.: „Wir fordern die gesamte 
Bundesregierung und insbesondere das 
verhandlungsführende Bundesinnen- 
ministerium auf entschieden gegen die 
dystopischen Pläne zur Chatkontrolle 
einzutreten. Sie muss endlich ihren 
Einfluss im Europäischen Rat geltend 
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machen, um die Verordnung zu verhin- 
dern.” 

Julia Witte, von Digitalcourage e.V.: 
„Die Überwachungsinfrastruktur, die 
nötig wäre, um den Vorschlag der Kom- 
mission umzusetzen, widerspricht den 
grundlegenden Werten unserer Ge- 
sellschaft. Wenn keine unbeobachtete 
Kommunikation mehr möglich ist, ist 
das eine Katastrophe.” 

Frank Spaeing, von der Deutschen 
Vereinigung für Datenschutz e.V. (DVD): 
„Das Bundesinnenministerium muss 
sich - nachdem selbst Kinderschutzor- 
ganisationen die Sinnhaftigkeit der EU- 
Pläne zur Chatkontrolle verneint haben 
(und um den Schutz der Kinder geht es 
bei diesen Maßnahmen ja scheinbar) 
- auf die eigenen Aussagen im Koaliti- 
onsvertrag besinnen, nach denen die 
Koalitionäre Maßnahmen zum Scannen 
privater Kommunikation und eine Iden- 
tifizierungspflicht ablehnen, und sich 
aktiv dafür einsetzen diese Verordnung 
zu verhindern.” 


Zum Hintergrund: 
Im Mai hat die EU-Kommission einen 


Verordnungsentwurf zur Bekämpfung 
von Kindesmissbrauch vorgelegt. Der 


Vorschlag sieht unter anderem vor Kom- 
munikations- und Hostingdienstean- 
bietern dazu zu verpflichten sämtliche 
Inhalte aller Nutzenden nach verdächti- 
gem Material zu durchleuchten und Ver- 
dachtsfälle an eine zentrale Stelle wei- 
terzuleiten. Das würde bedeuten, dass 
beispielsweise Messengerdienste wie 
WhatsApp oder Signal private Chats al- 
ler Nutzer:innen durchsuchen müssten. 
Auch Maßnahmen wie verpflichtende 
Alterskontrollen oder Netzsperren wer- 
den vorgeschlagen. 

Ende-zu-Ende-verschlüsselte Kom- 
munikation ist im Verordnungsvor- 
schlag ausdrücklich nicht ausgenom- 
men. Das Durchleuchten verschlüssel- 
ter Kommunikation ist aber technisch 
nur möglich, wenn die Verschlüsselung 
insgesamt gebrochen oder untergraben 
wird - etwa indem das eigene Gerät mit- 
tels Technologien wie Client-Side-Scan- 
ning zur Überwachung genutzt wird. 

Da sämtliche elektronische Kommu- 
nikation - von Messengerdiensten über 
E-Mail bis zur Sprachtelefonie (betref- 
fend „Grooming”) - sowie Hosting be- 
troffen sein kann, würde dies zu einem 
faktischen Ende des elektronischen 
Brief- und Fernmeldegeheimnisses füh- 
ren. Umsetzbar wäre dies nur durch den 
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Aufbau einer umfassenden technischen 
Infrastruktur, die nicht nur fehler- und 
missbrauchsanfällig ist, sondern auch 
jederzeit um weitere Deliktsfelder er- 
weitert werden kann. 

Liste der Erstunterzeichner: Algo- 
rithmwatch, ArGE Tübingen, Berliner 
Wassertisch, ChaosComputerClub, D64 


e.V., Dachverband der Fanhilfen e.V., 
Digitalcourage, Digitale Freiheit, Digi- 
tale Gesellschaft, Deutsche Vereini- 
gung für Datenschutz e.V. (DVD), FifF 
- Forum InformatikerInnen für Frieden 
und gesellschaftliche Verantwortung, 
Gesellschaft für Informatik, Giordano- 
Bruno-Stiftung, Humanistische Union, 


Humanistische Union Berlin-Branden- 
burg, Komitee für Grundrechte und De- 
mokratie, Load e.V., MOGiS e. V. - Eine 
Stimme für Betroffene, RAV - Republi- 
kanischer Anwält*innen- und Anwäl- 
teverein e.V., Reporter ohne Grenzen, 
Superrr Lab, Whistleblower Netzwerk, 
Zwiebelfreunde e.V. 


Nobelpreisträger starten Aufruf zur Bekämpfung der 
„existenziellen Bedrohung” für die Demokratie durch 
das Geschäftsmodell von Big Tech 


Die Friedensnobelpreisträger Maria 
Ressa und Dmitry Muratov haben am 
2. September 2022 zusammen mit ande- 
ren Unterzeichnenden einen Aufruf ge- 
startet, um die schädlichen Auswirkun- 
gen des Geschäftsmodells von Big Tech 
zu bekämpfen und deren bewusste Ver- 
stärkung von Desinformation, Hassreden 
und Internetmissbrauch zu beenden. 

Maria Ressa: „Das enorme Potenzial 
der Technologie zur Weiterentwick- 
lung unserer Gesellschaften wurde von 
Big Tech mit einem Geschäftsmodell 
gekapert, das vorsätzlich Lügen und 
Desinformation im Namen des Profits 
fördert.” 

Dmitry Muratov: „Die Unterstützung 
und Investition in wirklich unabhängi- 
ge Medien ist ein Gegenmittel gegen die 
Verzerrung von Fakten und die Polari- 
sierung der Debatte in der Gesellschaft.” 


Ein 10-Punkte-Plan zur Bewältigung 
unserer Informationskrise 


Wir appellieren an alle rechtsstaatlichen 
demokratischen Regierungen: 


1.Verlangen Sie von Technologieun- 
ternehmen, dass diese unabhängige 
Folgenabschätzungen zu Menschen- 
rechten durchführen, die veröffent- 
licht werden müssen, und fordern 
Sie Transparenz in allen Aspekten 
ihres Geschäfts - von der Moderation 
von Inhalten über die Auswirkungen 
von Algorithmen bis hin zur Daten- 
verarbeitung und zu Integritäts- 
richtlinien. 
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2.Schützen Sie das Recht der Bürger auf 
Privatsphäre mit wirkungsvollen Da- 
tenschutzgesetzen. 

3. Verurteilen Sie öffentlich die Angriffe 
auf die freie Presse und Journalisten 
weltweit und unterstützen und finan- 
zieren Sie angegriffene unabhängige 
Medien und Journalisten. 


Wir appellieren an die EU: 


4.Bringen Sie zügig die Durchsetzung 
des Digital Services Act und des Di- 
gital Markets Acts voran, damit diese 
Gesetze für die Unternehmen nicht 
nur „neuer Papierkram” sind und die- 
se vielmehr gezwungen werden ihr 
Geschäftsmodell zu ändern, z. B. dass 
diese die automatisierte Auswertung 
beenden, mit der Grundrechte be- 
droht und Desinformation und Hass 
verbreitet werden, auch wenn diese 
Risiken ihren Ursprung außerhalb der 
EU haben. 

.Bringen Sie unbedingt Gesetze zum 
Verbot von Überwachungswerbung vo- 
ran, da diese Praxis grundsätzlich nicht 
mit den Menschenrechten vereinbarist. 

6. Setzen Sie die EU-Datenschutz-Grund- 

verordnung wirksam um, damit die Da- 
tenrechte der Menschen endlich Wirk- 
lichkeit werden. 

7.Sehen Sie starke Schutzvorkehrun- 

gen für die Sicherheit von Journa- 
listen, die Nachhaltigkeit der Me- 
dien und demokratische Garantien 
im digitalen Raum im Rahmen des 
geplanten Europäischen Gesetzes zur 
Medienfreiheit vor. 
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8.Schützen Sie die Medienfreiheit, in- 
dem Sie Desinformation im Internet 
unterbinden. Das bedeutet, dass es 
keine besonderen Ausnahmen oder 
Privilegierungen für Organisationen 
oder Einzelpersonen in Gesetzen zu 
neuen Technologien oder Medien ge- 
ben sollte. Bei globalisierten Informa- 
tionsflüssen würde dies jenen Regie- 
rungen und nichtstaatlichen Akteu- 
ren einen Blankoscheck ausstellen, 
die Desinformationen im industriel- 
len Maßstab produzieren, um Demo- 
kratien zu schaden und um überall 
Gesellschaften zu polarisieren. 
.Stellen Sie sich der außergewöhnli- 
chen Lobby-Maschinerie entgegen, 
mit deren Astroturfing-Kampagnen 
und den Personalkarusellen zwischen 
den großen Technologieunternehmen 
und europäischen Regierungsinstitu- 
tionen (Astroturfing bezeichnet poli- 
tische oder kommerzielle Werbepro- 
jekte, die eine spontane Aktivitäten 
von unten vortäuschen). 


Ko} 


Wir appellieren an die Vereinten Natio- 
nen (UN): 


10. Schaffen Sie einen Sondergesandten 
des UN-Generalsekretärs mit der Aufgabe 
die Sicherheit von Journalisten (SESJ) zu 
erhöhen, der deren aktuelle Bedrohung 
angeht und endlich die Kosten für Verbre- 
chen gegen Journalisten erhöht. 


Unterzeichnet durch die Nobelpreisträ- 


ger des Jahres 2021 
Dmitry Muratov und Maria Ressa 
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Unterstützer: 

Amnesty International, Nobelpreis- 
träger 1977; Beatrice Fihn, Executi- 
ve Director, ICAN - the International 
Campaign to Abolish Nuclear Weapons, 
Nobelpreisträgerin 2017; Kailash Sa- 
tyarthi, Nobelpreisträger 2014: Jody 
Williams, Nobelpreisträgerin 1997; Juan 
Manuel Santos, Nobelpreisträger 2016; 
Leymah Gbowee, Nobelpreisträgerin 
2011; Nadia Murad, Nobelpreisträgerin 
2018; Shirin Ebadi, Nobelpreisträgerin 
2003; Tawakkol Karman, Nobelpreis- 
träger 2011; Alexandra Geese, Mitglied 
des Europaparlaments; Bruce Mutsvairo, 
Professor, Media and Performance Stu- 
dies, University of Utrecht; Can Dundar, 
türkischer Exiljournalist; Carole Cadwal- 
ladr, Journalistin von Guardian & Obser- 
ver & Mitgründerin The Real Facebook 
Oversight Board; Christophe Deloire, 
Vorstand Forum on Information and 
Democracy; David Carroll, Professor für 
Mediendesign, The New School; Fran- 
ces Haugen, Facebook Whistleblowe- 
rin; Gerard Ryle, Direktor International 
Consortium of Investigative Journalists; 
Irene Khan, Berichterstatterin für Mei- 
nungsfreiheit im Amt des UN-Hohen 
Kommissars für Menschenrechte; Julie 
Posetti, stellvertretende Präsidentin 
Forschungsdirektorin,. International 
Center for Journalists; Khadija Patel, 
Vorstand International Press Institute; 
Marietje Schaake, Stanford Cyber Poli- 


cy Center; Mogens Blicher Bjerregärd, 
internationaler Berater Danish Union of 
Journalists; Peter Pomerantsev, Senior 
Fellow Johns Hopkins University; Paul 
Tang, Mitglied des Europaparlaments; 
Phumzile van Damme, Tech.Activistin 
und frühere Abgeordente in Südafrika; 
Roger McNamee, ehemaliger Berater 
von Facebook-CEO Mark Zuckerberg, 
Autor von „Zucked: Waking Up to the 
Facebook Catastrophe”; Safıya Umo- 
ja Noble, Professorin und Autorin von 
„Algorithms of Oppression: How Search 
Engines Reinforce Racism”; Shoshana 
Zuboff, Autorin von „The Age of Surveil- 
lance Capitalism“, emeritierte Professo- 
rin Harvard Business School, Beirat In- 
ternational Observatory on Information 
and Democracy; Staffan I. Lindberg, 
Professor Politikwissenschaft, Univer- 
sität Gothenburg; Susie Alegre, Men- 
schenrechtsanwälting und Autorin von 
„Freedom to Think: The Long Struggleto 
Liberate Our Minds” 
sowie 

Access Now, Alliance4Europe, All Out 
Action Fund, ASEAN Parliamentari- 
ans for Human Rights, Avaaz, Burme- 
se Rohingya Organisation UK, Center 
for Democracy and Technology, Centre 
for Research on Multinational Corpo- 
rations, Centre for Peace Studies, Cor- 
porate Europe Observatory, Digitalcou- 
rage e.V., Digital Society Switzerland, 
Defend Democracy, Demos, Deutsche 


Vereinigung für Datenschutz e.V. 
(DVD), digiQ, Digital Content Next, 
D64 - Zentrum für Digitalen Fortschritt, 
Electronic Frontier Finland (Effi), Elekt- 
ronisk Forpost Norge, Estonian Human 
Rights Centre, European Digital Rights 
(EDRi), EU DisinfoLab, European Fede- 
ration of Public Service Unions, Free- 
dom United, Free Expression Myanmar, 
Freemuse, Free Press (United States), 
Foxglove, Global Project Against Hate 
and Extremism, Global Witness, Human 
Rights Watch, Hacked Off, HateAid, I 
Am Here International, Irish Council of 
Civil Liberties, KaskoSan Roma Charity, 
Kofi Annan Foundation, Larger Us, Lie 
Detectors, Luminate, Missing Children 
Europe, Movement Against Disinforma- 
tion Philippines, Nadia’s Initiative, Na- 
tional Center on Race and Digital Justice 
(U.S.), Open Rights Group, Panoptykon 
Foundation, People vs. Big Tech, Pro- 
gressive Voice Myanmar, Transparency 
International EU, UCLA Center for Cri- 
tical Internet Inquiry, Victims Advocate 
International, Waag, WeMove Europe, 
Wikimedia Deutschland, 5 Rights Foun- 
dation, #jesuisla, #ShePersisted. 


Der englischsprachige Text des Aufrufs 
ist u.a. veröffentlicht unter 
https://peoplevsbig.tech/ 10-point- 
plan 


Offener NGO-Brief an SPD, Grüne und FDP vom 19. September 2022 


Keine anlasslose Vorratsdatenspeicherung von 


IP-Adressen! 
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Bild; iStock.com / kynny 


Sehr geehrte Frau Nancy Faeser, 
Bundesministerin des Innern und für 
Heimat, 

sehr geehrter Herr Marco Buschmann, 
Bundesminister der Justiz, 

sehr geehrte Frau Lisa Paus, Bundesmi- 
nisterin für Familie, Senioren, Frauen 
und Jugend, 

sehr geehrter Herr Lars Klingbeil, Bun- 
desvorsitzender der SPD, 

sehr geehrter Herr Omid Nouripour, 
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Bundesvorsitzender von BÜNDNIS 90/ 
DIE GRÜNEN, 

sehr geehrte Frau Ricarda Lang, Bun- 
desvorsitzende von BÜNDNIS 90/DIE 
GRÜNEN und 

sehr geehrter Herr Christian Lindner, 
Bundesvorsitzender der FDP 


Die unterzeichnenden Organisatio- 
nen und Personen dieses Briefs lehnen 
die anlasslose Vorratsdatenspeicherung 
der IP-Adressen aller Bürger:innen ab 
und fordern Sie auf den Koalitionsver- 
trag umzusetzen, die Freiheitsrechte 
der Bevölkerung zu schützen und lang- 
fristig den Weg einer massenüberwa- 
chungsfreien Politik einzuschlagen. 
Stoppen Sie die Vorratsdatenspeiche- 
rung, schützen Sie Telefon- und auch 
Internetnutzer:innen! 


Privatsphäre ist Grundrecht. Keine 
anlasslose Vorratsdatenspeicherung 
von IP-Adressen! 


Die aktuellen Regelungen zur Vorrats- 
datenspeicherung, deren Anwendung 
seit Juli 2017 nach einem Beschluss des 
Oberverwaltungsgerichts Nordrhein- 
Westfalen ausgesetzt sind, verpflichten 
öffentlich zugängliche Internetzugangs- 
dienste zur pauschalen Speicherung aller 
IP-Adressen, die den Endnutzer:innen 
für eine Internetnutzung zugewiesen 
wurden, inklusive einer eindeutigen 
Kennung des Anschlusses, einer zuge- 
wiesenen Benutzerkennung sowie Datum 
und Uhrzeit von Beginn und Ende der 
Internetnutzung. Im Falle von Internet- 
Sprachkommunikationsdiensten müss- 
ten auch die IP-Adressen des anrufenden 
und des angerufenen Anschlusses und 
die zugewiesene Benutzerkennungen 
gespeichert werden. 

Am 20. September wird der Gerichts- 
hof der Europäischen Union seine Ent- 
scheidung über das deutsche Gesetz zur 
Vorratsdatenspeicherung verkünden. 
In den darauf folgenden Monaten geht 
es um die Erfüllung des Koalitionsver- 
trags [1]. Die Bundesregierung will sich 
laut Vertrag von der Überwachungspoli- 
tik der Vorgängerregierung konsequent 
abwenden und die „Regelungen zur Vor- 
ratsdatenspeicherung so ausgestalten, 
dass Daten rechtssicher anassbezogen 
und durch richterlichen Beschluss ge- 
speichert werden können.” 


DANA ® Datenschutz Nachrichten 4/2022 


Koalitionsvertrag einhalten! 


Der Koalitionsvertrag schließt jede 
Form der anlasslosen Speicherung der 
Kommunikationsdaten der Bürgerin- 
nen und Bürger aus. Das betrifft auch 
die von der Bundesinnenministerin er- 
hobene Forderung [2] nach der Einfüh- 
rung einer anlasslosen und pauschalen 
IP-Vorratsdatenspeicherung. Wir rufen 
Sie auf die Versprechen des Koalitions- 
vertrags gegenüber den Bürgerinnen 
und Bürgern einzuhalten! 


Schwerer Eingriff in die Grundrechte: 
IP-Daten bedingen Verfolgung und 
Profilbildung von Menschen 


Regierungen, Parlamente und große 
Teile der Bevölkerung unterschätzen 
das Risiko von IP-Adressen für das täg- 
liche Leben. In seinem Urteil aus Okto- 
ber 2020 (La Quadrature du Net) betont 
der EU-Gerichtshof die Sensibilität von 
IP-Daten: „Da die IP-Adressen jedoch 
insbesondere zur umfassenden Nach- 
verfolgung der von einem Internet- 
nutzer besuchten Internetseiten und 
infolgedessen seiner Online-Aktivität 
genutzt werden können, ermöglichen 
sie die Erstellung eines detaillierten 
Profils dieses Nutzers. Die für eine sol- 
che Nachverfolgung erforderliche Vor- 
ratsspeicherung und Analyse der IP-Ad- 
ressen stellen daher schwere Eingriffe 
in die Grundrechte des Internetnutzers 
aus den Art. 7und8 der Charta dar und 
können abschreckende Wirkungen wie 
die in Rn. 118 des vorliegenden Urteils 
dargelegten entfalten.” 

Zuletzt bestätigte eine Studie[3] zu 
Privatsphäre und IPv6-Adressen, dass 
IP-Adressen trotz Vorkehrungen zum 
Datenschutz eindeutige und dauerhafte 
Tracking-Identifikatoren sein können. 


IP-Vorratsdatenspeicherung ist un- 
geeignet für den Schutz von Kindern 


In Deutschland werden Forderungen 
nach massenhafter Speicherung von 
Kommunikationsdaten hauptsächlich 
mit dem Schutz von Kindern und Ju- 
gendlichen vor sexualisierter Gewalt 
begründet. Im November 2021 hatte der 
Arbeitskreis gegen Vorratsdatenspei- 
cherung gemeinsam mit zehn weiteren 
Bürgerrechts- und Berufsverbänden 


dargelegt, warum Vorratsdatenspeiche- 
rung zum Schutz von Kindern ungeeig- 
net [4] ist. Im Januar 2022 bestätigte 
eine Antwort der Bundesregierung auf 
eine schriftliche Frage zudem, dass Vor- 
ratsdatenspeicherung nicht notwendig 
ist. Laut Daten des Bundeskriminalamts 
[5] konnten nur 3 % alle Fälle der „Nut- 
zung, des Handels oder der Verbreitung 
von Kinderpornographie in den Jahren 
2017 bis 2021” aufgrund nicht vorhan- 
dener IP-Adressen nicht weiter verfolgt 
werden. 

Im April 2022 kritisierte gegen-miss- 
brauch e.V. [6]: „(...) das Problem ist 
nicht die [fehlende Vorratsdatenspei- 
cherung], sondern, das[s] die Ermitt- 
lungsbehörden vom Personal und der 
Ausstattung noch im 19. Jahrhundert 
sind, und Täter:innen tatsächlich im 
Jahr 2022“, 


Vorratsdatenspeicherung hilft nicht 
für mehr Sicherheit 


Der Arbeitskreis gegen Vorratsda- 
tenspeicherung (AKV) betont in seiner 
Analyse [7] einer Studie [8] des Max- 
Planck-Instituts aus 2011: 

„Dass Straftäter heutzutage oftmals 
elektronisch statt wie früher mündlich 
oder postalisch kommunizieren, bedeu- 
tet also nicht, dass die Benutzung der 
Kommunikationsnetze total nachvoll- 
ziehbar sein müsste, wie es auch bei der 
mündlichen und postalischen Kommu- 
nikation nie der Fall gewesen ist.” Der 
AKV hebt hervor: „Im Jahr 2020 wurde 
die Verbreitung pornografischer Schrif- 
ten laut Kriminalstatistik zu 91,3% auf- 
geklärt - ohne dass eine Pflicht zur IP- 
Vorratsdatenspeicherung in Kraft ist!” 

Die Studie kommt daher zu dem Er- 
gebnis: „Insbesondere gibt es bislang 
keinen Hinweis dafür, dass durch eine 
umfängliche Verfolgung aller Spuren, 
die auf das Herunterladen von Kin- 
derpornografie hindeuten, sexueller 
Missbrauch über den Zufall hinaus ver- 
hindert werden kann.” (221f) 

Umgekehrt gilt, dass anonyme Kom- 
munikation Kinder schützt, indem sie 
anonyme Beratung, Selbsthilfe und 
Strafanzeigen ermöglicht. 

Anstelle von Massenüberwachung 
sind es gezielte und unmittelbare Maß- 
nahmen, die Kinder und Jugendliche 
schützen können. Dazu gehören bes- 
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sere und schnellere gezielte Ermittlun- 
gen, Schutz- & Präventionskonzepte an 
Schulen und kirchlichen Einrichtungen 
sowie die Stärkung der Kompetenzen 
von Kontaktpersonen in Behörden, Be- 
ratungsstellen und öffentlichen Ein- 
richtungen. 


Vorratsdatenspeicherung trifft un- 
schuldige Bürger:innen 


Während sich Kriminelletechnisch vor 
Massenüberwachung schützen können, 
würde eine pauschale Vorratsdatenspei- 
cherung vor allem rechtstreu lebenden 
Menschen erfassen und schwer in ihren 
Grundrechten verletzen. Überwachung 
muss in einer Demokratie die Ausnahme 
bleiben und darf niemals zum Standard 
werden. 


Recht auf vertrauliche Internet- 
nutzung 


Die vertrauliche und anonyme Inter- 
netnutzung ist für die Meinungs- und 
Informationsfreiheit unerlässlich. Eine 
generelle und verdachtslose Vorrats- 
speicherung unserer Identität und IP im 
Internet würde das Ende der Anonymität 


im Internet bedeuten. Sie würde es den 
meisten Bürger:innen unmöglich ma- 
chen das Internet frei vom Risiko staatli- 
cherBeobachtung (z.B. auch wegeneines 
falschen Verdachts), missbräuchlicher 
Offenlegung durch Mitarbeiter:innen des 
Anbieters und versehentlichen Datenver- 
lustes zu nutzen. Dadurch hätte eine IP- 
Vorratsdatenspeicherung unzumutba- 
re Folgen, wo Menschen nur im Schutz 
der Anonymität überhaupt bereit sind 
sich in einer Notsituation beraten 
und helfen zu lassen (z.B. Opfer und 
Täter:innen von Gewalt- oder Sexual- 
delikten), ihre Meinung trotz öffentli- 
chen Drucks zu äußern oder Missstän- 
de bekannt zu machen (Presseinfor- 
manten, anonyme Strafanzeigen, aus- 
ländischeDissidenten). Bürger:innen 
müssen die Möglichkeit haben 
sich anonym mit Journalist:inn:en, Be- 
hörden, Anwaltskanzleien, Beratungs- 
stellen und Ärzt:inn:en auszutauschen 
ohne dabei rückverfolgt werden zu 
können. 


Massenüberwachungsfreie Politik 


Wir fordern Sie auf den Koalitionsver- 
trag umzusetzen, die Freiheitsrechte 


Leserbriefe zu den Themen der Datenschutz Nachrichten 
sind herzlich willkommen! 


dvd@datenschutzverein.de 
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der Bevölkerung zu schützen und lang- 
fristig den Weg einer massenüberwa- 
chungsfreien Politik einzuschlagen. 
Stoppen Sie die Vorratsdatenspeiche- 
rung, schützen Sie Telefon- und auch 
Internetnutzer:innen! 


Erstunterzeichnende Organisationen 
und Personen 

« Aktion Freiheit statt Angst e.V. 

« AlgorithmWatch 

« Deutsche Aidshilfe 

« Deutsche Vereinigung für Daten- 
schutz e.V. (DVD) 

DFJV Deutscher Fachjournalisten- 
Verband AG 
DieDatenschützerRhein-Main 
Digitalcourage e.V. 

Digitale Gesellschaft e.V. 

Dr. Rolf Gössner, Jurist/Publizist, 
Kuratoriumsmitglied der Internatio- 
nalen Liga für Menschenrechte 
Forum InformatikerInnen für 
Frieden und gesellschaftliche Verant- 
wortung e.V. 

freiheitsfoo / freiheitsfoo.de 
Humanistische Union e.V. 

Komitee für Grundrechte und Demo- 
kratie e.V. 

mailbox.org - Heinlein Hosting 
GmbH 

Monique Hofmann - Bundesge- 
schäftsführerin Deutsche Journa- 
listinnen- und Journalisten-Union 
(dju) in ver.di 

Netzwerk Recherche 

Neue Richtervereinigung e.V., 
Bundesvorstand 

openPetition 

Peter Leppelt - Mitglied des Digitalrat 
Niedersachsen 

Prof. Dr. Clemens Arzt - FÖPS Berlin 
- Forschungsinstitut für öffentliche 
und private Sicherheit (Gründungsdi- 
rektor) 

Prof. Dr. Fredrik Roggan - Hochschu- 
le der Polizei des Landes Branden- 
burg 

Prof. Dr. Ira Diethelm - Carl von Os- 
sietzky Universität 

Prof. Dr.-Ing. Tibor Jager - Bergische 
Universität Wuppertal 

Prof. Thorsten Holz - CISPA Helm- 
holtz Center for Information Security 
Reporter ohne Grenzen e. V. / Repor- 
ters Without Borders (RSF) Germany 
Republikanischer Anwältinnen- und 
Anwälteverein e.V. (RAV) 
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Datenschutznachrichten 


Datenschutznachrichten aus Deutschland 


Bund 


PNR-Datenerfassung und 
-auswertung muss einge- 
schränkt werden 


Das Bundeskriminalamt (BKA) muss 
die anlasslose Fluggastüberwachung 
nach dem Urteil des Europäischen Ge- 
richtshofs (EuGH) vom 21.06.2022 (Az. 
C-817/19, DANA 3/2022, 201 ff.) massiv 
einschränken. Das BKA hat gemäß einer 
Antwort an die Presse seit dem Start der 
Flugverkehrsüberwachung im August 
2018 bis April 2022 die Datensätze von 
145.821.880 Fluggästen gespeichert 
und ausgewertet. Erfasst werden rund 
40 Millionen Flugreisen pro Jahr. Gere- 
gelt ist das im Fluggastdatengesetz, das 
2017 in Krafttrat und die PNR-Richtlinie 
der EU (2016/681) zu Passenger Name 
Records (PNR) umsetzt. Erfasst werden 
dabei alle Flügein die EU hinein und he- 
raus sowie alle Flüge zwischen den EU- 
Staaten. Nur bei rein innerstaatlichen 
Reisen (beispielsweise von München 
nach Hamburg) werden die Passagierda- 
ten nicht gespeichert. 

Die Fluggastdaten werden mit polizei- 
lichen Datenbanken abgeglichen, um 
zum Beispiel flüchtige Straftäter zu er- 
wischen. Laut BKA gab es seit dem Start 
20.012 Fahndungserfolge beim Regis- 
ter-Abgleich. Zudem sollen bisher un- 
bekannte Straftäter anhand bestimmter 
„Muster“ erkannt werden. Wer zum Bei- 
spiel die gleichen Reiserouten nutzt wie 
Drogenkuriere und sich auch sonst wie 
ein Drogenkurier verhält, muss mit ei- 
nerindividuellen Überprüfung rechnen. 
Das BKA meldet beim Muster-Abgleich 
670 Treffer in knapp vier Jahren. Das 
BKA, das in Deutschland für die Spei- 
cherung und Auswertung der Flugdaten 
zuständig ist, bewertet die Fluggastda- 
tenauswertung als „effektives System“. 
Auch eine Ausweitung der Überwa- 
chung auf den grenzüberschreitenden 
Flug- und Fährverkehr hält das BKA für 
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„sinnvoll“. Politisch ist das derzeit nicht 
geplant. 

Der EuGH hat im Juni 2022 auf Vorlage 
des belgischen Verfassungsgerichts zur 
PNR-Richtlinie der EU entschieden, dass 
diese nur dann mit EU-Recht vereinbar 
ist, wenn sie „eng ausgelegt” und die 
Befugnisse der Behörden auf das „abso- 
lut Notwendige” begrenzt werden. Der 
EuGH verlangt, dass die Fluggastdaten 
nicht mehr fünf Jahre lang gespeichert 
werden, sondern grundsätzlich nur 
noch sechs Monate. Zwar wurden die 
Daten bisher schon nach sechs Mona- 
ten „depersonalisiert“, die Namen der 
Fluggäste waren in der Datei also nicht 
mehr zu sehen. Doch auf richterlichen 
Beschluss konnte die Depersonalisie- 
rung rückgängig gemacht werden. Laut 
BKA ist dies in 670 Fällen auch erfolgt. 
Künftig ist das nicht mehr möglich, weil 
die Fluggastdaten nach sechs Monaten 
völlig gelöscht werden müssen. 

Der EuGH hat auch die Gründe der 
Auswertung reduziert. Sie muss sich 
künftig auf die Verhinderung und Auf- 
klärung von terroristischen Straftaten 
und von Taten, die mit dem Flugverkehr 
zu tun haben, etwa Flugzeugentfüh- 
rungen, beschränken. Datenabgleiche 
wegen anderer Delikte wie Mord, Verge- 
waltigung und Umweltkriminalität sind 
künftig rechtlich nicht mehr möglich. 
Nur 5% der bisherigen Treffer hatten 
laut BKA mit Terror zu tun. Über den An- 
teil der Treffer bei flugbezogenen Taten 
lagen keine Zahlen vor. Zudem hat der 
EuGH eine anlasslose Speicherung und 
Auswertung der Fluggastdaten bei Flü- 
gen innerhalb der EU vor allem darauf 
beschränkt, dass eine akute terroristi- 
sche Bedrohung vorliegen muss. Laut 
BKA betreffen bisher aber immerhin 
61% der Datensätze „Intra-EU-Flüge“. 
Der Großteil der Speicherung muss also 
entfallen. 

Für das größte Aufsehen sorgte der 
EuGH mit der Auflage, dass bei der Er- 
kennung verdächtiger Muster keine ma- 
schinell lernenden Systeme und keine 


unkontrollierte künstliche Intelligenz 
mehr eingesetzt werden darf. Der EuGH 
sah darin die Gefahr, dass die so entste- 
henden Algorithmen zu Falschverdäch- 
tigungen führen. In den Jahren 2018 
und 2019 seien in manchen Staaten im- 
merhin fünf von sechs Treffern „falsch 
positiv” gewesen, führten also zu einem 
falschen Verdacht. Insofern haben die 
EuGH-Vorgaben nur geringe Auswir- 
kungen auf Deutschland. Das BKA versi- 
cherte, dass es bei der Mustererkennung 
keine künstliche Intelligenz und keine 
maschinell lernenden Systeme einsetzt. 
Zwar arbeitet auch das BKA mit ver- 
meintlich verdächtigen Reisemustern, 
die aber auf dem Erfahrungswissen von 
Kriminalpolizisten beruhen. 

Das BKA ist gemäß einer Sprecherin 
mit den bevorstehenden Einschrän- 
kungen unzufrieden. Sie seien „nicht 
förderlich” für eine effektive Strafver- 
folgung und die Gewährleistung von 
Sicherheit. Wann das deutsche Flug- 
gastdatengesetz entsprechend geän- 
dert wird, ist noch nicht absehbar. 
Das von Nancy Faeser (SPD) geleitete 
Bundesinnenministerium wertet die 
EuGH-Entscheidung noch aus: „Be- 
reits jetzt ist aber absehbar, dass sie 
zu deutlichen Einschränkungen für die 
Verarbeitung von Fluggastdaten führt.” 
Nach Abschluss der Auswertung werde 
das Ministerium die erforderlichen An- 
passungen des Fluggastdatengesetzes 
„anstoßen”. 

Beim EuGH liegen auch fünf Vorla- 
gen aus Deutschland, zwei vom Verwal- 
tungsgericht (VG) Wiesbaden, drei vom 
Amtsgericht (AG) Köln; alle Klagen wur- 
den von der GFF (Gesellschaft für Frei- 
heitsrechte) koordiniert. Nach den nun 
vorliegenden Vorgaben des EuGH dürf- 
ten sich die Vorlagen erledigt haben, so 
dass die Gerichte voraussichtlich zeit- 
nah entscheiden werden. Das AG Köln 
muss klären, ob Fluggesellschaften Da- 
ten ihrer Fluggäste an das BKA weiter- 
geben dürfen. Beim VG Wiesbaden geht 
es um die Frage, ob das BKA diese Daten 
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speichern und auswerten darf (Rath, 
Weniger Rasterfahndung am Himmel, 
https://taz.de/Speicherung-von- 
Fluggastdaten/!5875810/ 22.08.2022). 


Bund 


Kritisiertes Forschungsda- 
tenzentrum geht in Betrieb 


Von August 2022 bis spätestens zum 
1. Oktober mussten die Krankenkassen 
im Rahmen des sog. Datentransparenz- 
verfahrens besonders schützenswerte 
Gesundheitsdaten ihrer 73 Millionen 
gesetzlich Versicherten zu Forschungs- 
zwecken bereitstellen. Sie sollten zwi- 
schen dem ersten August und dem 
ersten Oktober 2022 an die Sammel- 
stelle des Spitzenverbands Bund der 
Krankenkassen (GKV-Spitzenverband) 
übermittelt werden. Inzwischen sind 
alle Abrechnungsdaten der Versicher- 
ten dort eingetroffen. Bis zum ersten 
Dezember 2022 werden die Daten dann 
an das am Bundesinstitut für Arznei- 
mittel und Medizinprodukte (BfArM) 
eingerichtete Forschungsdatenzent- 
rum (FDZ) weitergeleitet werden. An- 
schließend soll die Datensammlung 
immer weiter ergänzt und bis zu 30 
Jahre lang gespeichert werden. Ein 
Widerspruchsrecht und auch sonstige 
Betroffenenrechte sind nicht vorgese- 
hen. Die Gesellschaft für Freiheitsrech- 
te (GFF) kritisiert das und will weiter 
gegen mangelnden Datenschutz vor- 
gehen. Sie sieht darin einen Verstoß 
gegen das Recht auf informationelle 
Selbstbestimmung und z.B. gegen Ar- 
tikel 21 der DSGVO. 

Die GFF hat Anfang Mai 2022 gemein- 
sam mit Constanze Kurzvom Chaos Com- 
puter Club (CCC) und einer Person, die 
an dem seltenen Krankheitsbild Hämo- 
philie leidet, zwei Eilverfahren bei den 
Sozialgerichten in Berlin und Frankfurt 
eingeleitet, um die Weitergabe der Da- 
ten zunächst in zwei Fällen zu verhin- 
dern. Die GFF hält die Nutzung von Ge- 
sundheitsdaten für Forschungszwecke 
für sinnvoll, doch würden die „bislang 
gesetzlich vorgesehenen Schutzstan- 
dards” für die Gesundheitsdatenbank 
nicht ausreichen. Die Daten würden le- 
diglich pseudonymisiert, wobei Anga- 
ben wie Name und Geburtstag entfernt 
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werden. Ein Gutachten des Kryptogra- 
fie-Professors Dominique Schröder hat- 
te jedoch gezeigt, dass trotzdem Rück- 
schlüsse auf einzelne Personen möglich 
sind. Ein Missbrauch der Daten könne 
nicht ausgeschlossen werden, u.a. we- 
gen des Fehlens einer Pflicht zum Ein- 
satz zeitgemäßer Verschlüsselung. 

Vor allem die zentrale Datensamm- 
lung beim GKV-Spitzenverband und in 
dem FDZ sieht Schröder kritisch; sie sei 
ein möglicher Single Point of Failure 
und nicht notwendig. Besser sei eine 
dezentrale Datenspeicherung, die auch 
dem Stand der Technik entspricht. Auch 
die Gematik arbeitet derzeit an einem 
Konzept, bei dem Daten nicht zentral 
gespeichert werden. Als Methoden für 
den Umgang mit sensiblen Daten nennt 
Schröder unter anderem das Konzept 
„Differential Privacy“, das auch von 
Google und Apple eingesetzt wird. Auch 
schlägt er den Einsatz moderner kryp- 
tografischer Verfahren wie die Verwen- 
dung homomorpher Verschlüsselungen 
oder die der sicheren Mehrparteienbe- 
rechnung vor. 

Die GFF will mit weiteren Klagen ein 
Widerspruchsrecht erwirken und „dass 
die Daten der Versicherten bestmöglich 
geschützt werden, um einen Missbrauch 
zu verhindern“. Dabei sollten bei der 
„Zusammenführung der Datensätze vor 
der Pseudonymisierung, der zentralen 
Speicherung der pseudonymisierten 
Datensätze sowie der Verarbeitung der 
Daten durch die Nutzungsberechtigten 
hohe IT-Sicherheitsstandards” gelten. 
Bijan Moini, Jurist und Verfahrenskoor- 
dinator von GFF, erläuterte: „Wer an 
einer seltenen Krankheit leidet, ist in 
scheinbar anonymisierten Datenbanken 
besonders leicht identifizierbar. Das ist 
besonders dann gefährlich, wenn die 
Krankheit stigmatisierend wirkt oder 
die Kenntnis davon sogar Erpressungs- 
potenzial hat.” Niemand wolle Ge- 
sundheitsforschung verhindern, „aber 
das Gesetz sieht weder ausreichende 
Schutzstandards noch moderne Ver- 
schlüsselungsmethoden vor - das ist 
fahrlässig und gefährlich. Wenn Ge- 
sundheitsdaten einmalin falsche Hände 
geraten, kann das nicht mehr rückgän- 
gig gemacht werden!” 

Das Bundesgesundheitsministerium 
wollte sich zu dem „laufenden Verfah- 
ren” nicht äußern. In die Wege geleitet 


hatte die Datensammlung ohne Wider- 
spruchsmöglichkeit der ehemalige Ge- 
sundheitsminister Jens Spahn mit dem 
2019 in Kraft getretene Digitale-Versor- 
gung-Gesetz (DVG) (Koch, Datenschutz: 
Daten von Millionen Krankenversicher- 
ten können weitergegeben werden, 
www.heise.de 30.09.2022, Kurzlink: 
https://heise.de/-7279249). 


Bundesweit 


Erfassung der ukrainischen 
Kriegsflüchtlinge mit 
Spezialanwendung 


Das Bundesamt für Migration und 
Flüchtlinge (BAMF) unterstützt alle 16 
Bundesländer mit 180 Registrierungs- 
stationen und über 270 Mitarbeitenden 
(Stand 11.05.2022) bei der erkennungs- 
dienstlichen Erfassung der Flüchtlinge 
aus der Ukraine, vor allem Frauen und 
Kinder, und erhebt Fingerabdrücke, 
Personendaten und Fotos. Mit der seit 
dem 02.05.2022 im Einsatz befindlichen 
IIT-Anwendung FREE sollen familiäre 
Bindungen bei der Verteilung der Men- 
schen auf die Bundesländer berück- 
sichtigt und Familien zusammengeführt 
werden. 

Ein Großteil der Ankommenden 
kommt zwar aktuell privat unter, bei- 
spielsweise bei Verwandten, Bekannten 
oder freiwillig Unterstützenden. Perso- 
nen, die eine Unterkunft benötigen und 
auf staatliche Leistungen angewiesen 
sind, werden auf die Bundesländer nach 
dem Königsteiner Schlüssel verteilt. 
Das BAMF ist dann nach 8 24 Abs. 3 
AufenthG zuständig für die Verteilung 
der Geflüchteten auf die Bundesländer. 
Die Fachanwendung FREE ist hierzu vor 
dem Hintergrund der Ukrainesituation 
neu entwickelt worden. Damit wurde 
auch eine Forderung des Deutschen 
Städtetages direkt erfüllt. Zuvor er- 
folgte die Verteilung von Personen, die 
ein Schutzgesuch nach & 24 AufenthG 
geäußert haben, über das EASY-System 
für die Erstverteilung von Asylsuchen- 
den. „FREE“ steht für „Fachanwendung 
zur Registerführung, Erfassung und 
Erstverteilung zum vorübergehenden 
Schutz”. Das Verfahren bietet die Mög- 
lichkeit individuelle Rahmenbedingun- 
gen der Geflüchteten, wie z.B. familiäre 
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Bindungen, bei der Verteilung zu be- 
rücksichtigen. 

Ukrainische Staatsangehörige mit 
biometrischem Reisepass halten sich 
nach derzeitigen EU-Regelungen für 
90 Tage legal in Deutschland auf. Nach 
Ablauf des 90sten Tages des Aufent- 
halts bzw. bei Bedarf nach Bezug von 
Leistungen müssen sich die Personen 
registrieren lassen. Um eine überpro- 
portionale Unterbringung in Gebieten 
wie Hamburg oder Berlin zu vermei- 
den, soll FREE „personenscharfe und 
gleichzeitig lastengerechte Verteilung 
von Kriegsflüchtlingen aus der Ukraine 
unter Berücksichtigung integrations- 
förderlicher Bindungen” ermöglichen. 
Die Anwendung wurde vom BAMF selbst 
in enger Abstimmung mit allen Ländern 
designt. Anders als bei EASY wird eine 
Steuerungswirkung erreicht, da Per- 
sonendaten und Verteilung miteinander 
verknüpft werden und in FREE durch 
eindeutige lIdentifizierungsmerkmale 
jederzeit nachverfolgbar sind. Die Zu- 
ständigkeit des ausgewählten Landes 
wird festgelegt und istschon in derindi- 
viduellen Anlaufbescheinigung erkenn- 
bar, die das Produkt des Vorgangs ist. 

FREE wird auf Landesebene von den 
zuständigen Ausländerbehörden und 
Aufnahmeeinrichtungen genutzt; das 
BAMF stellt die IT-Fachanwendung zur 
Verfügung und hostet diese. Das web- 
basierte FREE kann über die aktuellen 
Browser Mozilla Firefox, Apple Safari, 
Google Chrome oder Microsoft Edge 
durch einen berechtigten Personenkreis 
aufgerufen werden. Die ebenso webba- 
sierte Benutzerverwaltung erfolgt über 
ein delegiertes Verwaltungssystem, mit 
dem die beteiligten Stellen in Ländern 
und Kommunen selbst die Rechteverga- 
ben gemäß Berechtigungskonzept reali- 
sieren können. 

Die Erteilung des Aufenthaltstitels 
erfolgt weiterhin über die ausländer- 
rechtlichen Fachverfahren. Die Ausstel- 
lung eines Aufenthaltstitels durch die 
zuständige Ausländerbehörde setzt vor- 
aus, dass die ukrainischen Kriegsflücht- 
linge eine vollständige ED-Behandlung 
durchlaufen haben und ein Eintrag im 
AZR erfolgt ist. 

In Vorbereitung ist eine Schnittstelle 
zum Ausländerzentralregister AZR, die 
eine unmittelbare Datenübertragung 
in FREE auf Basis des lesenden Zugriffs 
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ermöglicht. Außerdem ist die auto- 
matisierte Dublettenprüfung geplant: 
Hierbei sollen automatisch identische 
Personendatensätze erkannt und zu- 
sammengeführt werden (IT-Fachanwen- 
dung: „FREE“ im Einsatz, www.bamf.de 
01.06.2022). 


Berlin 


Meike Kamp ist neue 
Datenschutzbeauftragte 


Das Abgeordnetenhaus der Haupt- 
stadt Berlin wählte am 06.10.2022 
Meike Kamp zur neuen Chefin der dor- 
tigen Datenschutzaufsichtsbehörde. 
Die Stelle der Berliner Beauftragten für 
Datenschutz und Informationsfreiheit 
(BlnBDI) war lange vakant. Die Juristin 
erhielt 94 von 123 Stimmen und damit 
auch Unterstützung aus der Opposition. 
Sie tritt die Nachfolge von Maja Smolt- 
czyk an, die bereits am 27.10.2021 aus 
dem Amt geschieden war. Kommissa- 
rischer Leiter der Behörde war bisher 
Volker Brozio. Die rot-grün-rote Koali- 
tion brauchte - nicht nur aufgrund der 
Neuwahl des Abgeordnetenhauses im 
September 2021 - fast ein Jahr, um die 
Stelle neu zu besetzen. Auf Vorschlag 
der Grünen machte nun eine Expertin 
für E-Privacy, die Datenschutz-Grund- 
verordnung (DSGVO) sowie Medien- und 
Informationsfreiheit das Rennen. 

Kamp kennt die Behörde, die sie nun 
leiten soll, gut: Sie war von 2010 bis 
2019 bei der BlnBDI tätig, zuletzt als 
Wirtschaftsreferentin. Zuvor hatte die 
47-Jährige am Unabhängigen Landes- 
zentrum für Datenschutz Schleswig- 
Holstein das Referat Datenschutz im 
nichtöffentlichen Bereich einschließ- 
lich Telemedien und Telekommunika- 
tion geführt. Zuletzt war sie für das 
Land Bremen als Sitzungsvertreterin im 
Rechts- und Innenausschusses des Bun- 
desrates tätig. Als Dozentin und Refe- 
rentin gibt Kamp Seminare zum Daten- 
schutzrecht an Universitäten und bei 
Fachverbänden, darunter der Verbrau- 
cherzentrale Bundesverband (vzbv) und 
die Gesellschaft für Datenschutz und 
Datensicherheit (GDD). 

Die Suche nach einer Nachfolgerin für 
Maja Smoltczyk war holprig verlaufen. 
Entsprechend erfreut zeigte sich Sil- 


ke Gebel, Chefin der Grünen-Fraktion, 
die das Vorschlagsrecht für den Posten 
innehatte: „Uns allen war wichtig eine 
unabhängige Expertin zu bekommen.” 
Die Sprecher für Datenschutz der Koa- 
litionsfraktionen, Jan Lehmann (SPD), 
Stefan Ziller von den Grünen und Sebas- 
tian Schlüsselburg (Die Linke), gratu- 
lierten Kamp zur Wahl: „Mit der Beset- 
zung erfüllen wir ein wichtiges innen- 
politisches Anliegen des rot-grün-roten 
Koalitionsvertrages und schließen die 
Lücke in einem zentralen Ressort.” Das 
Trio erklärte, dass in einer Stadt der Me- 
dien, Startups und Behörden wie Berlin 
„die Erwartungen an die Datenschutz- 
beauftragte hoch“ seien. 

Aus der Koalition soll zuvor die Hoff- 
nung laut geworden sein, dass Kamp ihr 
Amt weniger restriktiv ausüben möge 
als Smoltczyk. Die Vorgängerin habe 
sich etwa wegen diverser Auseinander- 
setzungen während der Corona-Pande- 
mie nicht sonderlich beliebt gemacht. 
In einem Kurztest der Aufsichtsbehörde 
waren weit verbreitete Videokonferenz- 
systeme wie Microsoft Teams, Skype, 
Zoom, Google Meet, GoToMeeting und 
Webex durchgefallen. Senat, Abgeord- 
netenhaus und Berliner Hochschulen 
setzten trotzdem weiter Lösungen von 
der schwarzen Liste ein und ignorierten 
Warnungen der Datenschützerin. Zu- 
dem hatte Smoltczyk wiederholt Verstö- 
ße bei der Polizei Berlin gerügt. 

Als entscheidende Aufgabe im Bereich 
der Informationsfreiheit giltesfür Kamp 
die Arbeiten an einem Berliner Trans- 
parenzgesetz zu begleiten, das diesen 
Namen auch verdient. Ein erster Anlauf 
dazu scheiterte in den vergangenen 
Jahren an vorgesehenen breiten Aus- 
nahmen für ganze Verwaltungsberei- 
che. 2021 hatten sich Betroffene in ins- 
gesamt 5.671 Fällen mit einer Beschwer- 
de oder einem Beratungsersuchen an 
die BInBDI gewandt, was einen Rekord 
darstellte. Einen weiteren Höchstwert 
gab es bei den Datenpannen: Hier mel- 
deten private und öffentliche Stellen 
insgesamt 1.163 Vorkommnisse. Die 
Behörde sprach im Jahr 2021 212 Ver- 
warnungen, zwei Warnungen und eine 
Anordnung aus. Zudem verhängte sie 
61 Bußgelder in Höhe von insgesamt 
133.350 Euro. Das höchste von Smolt- 
czyk verhängte Bußgeld betrug 14,5 
Millionen Euro. Der Bescheid richtete 
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sich gegen die Deutsche Wohnen. Der 
Immobiliengesellschaft gelang es aber, 
die Strafe vor Gericht wegen Verfah- 
rensmängeln abzuwenden (Kiesel, Nach 
fast einjähriger Vakanz: Meike Kamp 
wird Datenschutzchefin in Berlin, www. 
tagesspiegel.de 13.09.2022; Krempl, 
Meike Kamp: Hohe Erwartungen an 
neue Berliner Datenschutzbeauftragte, 
www.heise.de 07.10.2022, Kurzlink: 
https://heise.de/-7287537). 


Berlin 


Unzulässige Polizeidaten- 
bankabfragen führen zu 
Sanktionen 


Aus einer Antwort des Berliner Senats 
auf eine Anfrage der Linken geht her- 
vor, dass einzelne Berliner Polizisten in 
ihren internen Computersystemen im- 
mer wieder unberechtigt persönliche 
Daten von Bürgerinnen und Bürgern 
abfragen. In den vergangenen Jahren 
wurden aus diesem Grund jeweils zwi- 
schen 15 und 24 Ermittlungsverfahren 
eingeleitet. In der ersten Jahreshälfte 
2022 gab es bereits 10 Ermittlungen 
wegen solcher Verstöße gegen den 
Datenschutz. In vielen Fällen wurden 
Bußgelder gegen die Polizisten ver- 
hängt, ein Teil der Ermittlungen wurde 
eingestellt. Die Betroffenen, also die 
Menschen, deren Daten abgefragt wur- 
den, seien „in der überwiegenden Zahl 
von Fällen benachrichtigt” worden. 
Zugriffe auf die Datenbank der Polizei 
POLIKS (Polizeiliches Landessystem 
für Information, Kommunikation und 
Sachbearbeitung) werden intern proto- 
kolliert und sind so rückwirkend fest- 
zustellen (Polizei Berlin fragt Privates 
ab, SZ 10.08.2022, 8). 


Niedersachsen 


Thiel warnt vor Werbeprofi- 
ling bei Banken 


Die Landesbeauftragte für den Daten- 
schutz (LfD) Niedersachsen, Barbara 
Thiel, warnte nach der Prüfung einer 
Genossenschaftsbank, die als Pilotbank 
sogenannte Smart-Data-Verfahren tes- 
tet, die anderen 89 genossenschaftli- 
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chen Banken in Niedersachsen vor dem 
Einsatz solcher Verfahren. 

Bei dem Smart-Data-Verfahren wur- 
den aus dem Kundenbestand gezielt 
Personen für bestimmte Werbemaß- 
nahmen herausgefiltert, indem Score- 
werte berechnet werden über die Wahr- 
scheinlichkeit des Interesses an einem 
bestimmten Produkt, etwa an einem 
Immobilienkredit, einer Kreditkarte 
oder einem Wertpapiersparplan. An- 
schließend erhält die Kundin oder der 
Kunde Werbung für das entsprechende 
Produkt. Zur Bildung der Scorewerte 
werden unter anderem Zahlungsver- 
kehrsdaten analysiert und bei einigen 
Verfahren auch Daten über das Wohn- 
umfeld der Kundinnen und Kunden von 
externen Dienstleistern hinzugezogen. 

Zur Berechnung, ob jemand Interesse 
an einem Konsumentenkredit hat, wur- 
den z.B. 162 Datenfelder genutzt, dar- 
unter folgende Informationen aus dem 
Zahlungsverkehr: Bezug von sozialen 
Leistungen, Ausgaben für Haushalt und 
Lebensmittel, Höhe der Fahrzeugkosten, 
Höhe der „Grundkosten”, u.a. für Ener- 
gieversorger, Höhe des Gehalts- oder Ren- 
teneingangs, Höhe der Auszahlungen an 
Geldautomaten, Umsätzein der Kategorie 
E-Payment, z.B. Paypal und Amazon. 

Zudem wurden von externen Dienst- 
leistern Daten zum Wohnumfeld an- 
gekauft und in die Berechnung einge- 
führt, z.B. Anteil der Bevölkerung mit 
Realschulabschluss, durchschnittliche 
Anzahl der Kinder pro Haushalt, durch- 
schnittliche Anzahl der Personen pro 
Haushalt, Nettoeinkommen der Haus- 
halte, durchschnittliche private Kauf- 
kraft für Hypothekendarlehen, Konsu- 
mentenkredite, Lebensversicherungen 
und private Krankenversicherungen, 
Anteil der Bevölkerung mit Familien- 
stand „geschieden“. 

Die Aufsichtsbehörde hält eine sol- 
che Verarbeitung mangels überwie- 
gendem berechtigten Interesse und 
mangels wirksamer Einwilligung für 
rechtswidrig. Die Durchführung von 
Verhaltensprognosen auf Grundlage 
von Zahlungsverkehrsdaten entspräche 
nicht den vernünftigen Erwartungen 
der Kundschaft. Bereits in einem ande- 
ren Fall hatte die LfD Niedersachsen im 
Juli 2022 ein Bußgeld von 900.000 Euro 
verhängt, weil eine Bank die Grenzen 
der Interessenabwägung bei der Verar- 


beitung personenbezogener Daten für 
Werbezwecke überschritten hatte. 

Die Einwilligungsformulare wurden 
beanstandet, weil die Kunden nicht 
selbst entscheiden können, ob und wel- 
che konkreten Smart-Data-Verfahren 
durchgeführt werden. Sie konnten nur 
allgemein in die Profilbildung für Wer- 
bezwecke einwilligen ohne dabei steu- 
ern zu können, in welchem Umfang 
dies geschieht. Thiel erklärte: „Zah- 
lungsverkehrsdaten sind sehr sensibel, 
weil sie Informationen über das Kon- 
sumverhalten, Beziehungen zu ande- 
ren Menschen, die wirtschaftliche Lage 
und persönliche Vorlieben enthalten. 
Sie ermöglichen so eine Vielzahl von 
Rückschlüssen auf das berufliche und 
private Leben der Betroffenen. Es muss 
deshalb sichergestellt sein, dass die be- 
troffenen Personen die Kontrolle über 
die Verarbeitung dieser Daten ausüben 
können” (LfD Nds. PE v. 08.09.2022, LfD 
Niedersachsen warnt genossenschaftli- 
che Banken vor Profilbildung für Werbe- 
zwecke). 


Nordrhein-Westfalen 


Palantir im umstrittenen 
polizeilichen Einsatz 


Mitte 2019 suchte das Landeskrimi- 
nalamt Nordrhein-Westfalen (LKA NRW) 
einen Anbieter für eine neue Software, 
mit der Informationen aus verschie- 
denen Datenbanken miteinander ver- 
knüpft werden können, um damit Fälle 
von Terrorismus und schwerer Krimina- 
lität zu verhindern. Der Auftragswert 
laut Ausschreibung betrug 14 Millionen 
Euro. Die Ausschreibung gewonnen hat 
das höchst umstrittene Unternehmen 
Palantir. Die Firma ist eng verflochten 
mit US-Geheimdiensten. Ein Teil des 
Gründungskapitals kam von der CIA. Mit 
aufgebaut wurde die Firma von Milliar- 
där und Trump-Unterstützer Peter Thiel. 

Die Software soll aus Ermittlersicht 
den Vorteil haben, dass die verfügbaren 
Datenbanken nicht händisch durch- 
sucht werden müssen. Mit ein paar 
Klicks übernimmt dies das Programm, so 
NRW-Innenminister Herbert Reul: „Das 
ist gar keine Zauberwaffe, sondern was 
ganz Banales.“ Aus Datenschutzsicht 
ist die Software problematisch: Palantir 
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kann nicht nur auf die Datenbanken der 
Polizei zugreifen, sondern auch andere 
Informationen einbeziehen, etwa aus 
dem Waffenregister, dem Einwohner- 
meldeamt oder der Führerscheinstelle. 
Ermittler haben sogar die Möglichkeit 
im Einzelfall Daten aus Social-Media- 
Kanälen wie Facebook und Internetda- 
ten hinzuzufügen. 

Mehrere Polizeibehörden wie Euro- 
pol oder die New Yorker Polizei stellten 
nach anfänglicher Begeisterung die Zu- 
sammenarbeit mit Palantir wieder ein. 
Grund sollen unter anderem stark stei- 
gende Kosten gewesen sein. 

Das Innenministerium Nordrhein- 
Westfalen räumte jetzt ein, dass die Be- 
hörden weit mehr zahlten als den in der 
Ausschreibung genannten Auftragswert 
von 14 Millionen Euro. Insgesamt 22 
Millionen Euro netto sollen demnach als 
Lizenzkosten für fünf Jahre die Zahlun- 
gen an Palantir betragen. 

Das Ministerium teilte weiter mit, im 
Ausschreibungsverfahren habe sich ge- 
zeigt, dass die geforderten Leistungen 
nicht für den geschätzten Wert erbracht 
werden konnten. Die Angebote lagen 
demnach alle „über 20 Millionen Euro 
- zum Teil deutlich“. Nach Vertragsab- 
schluss sei der Wert nicht mehr verändert 
worden. Doch die Kosten stiegen weiter. 
Alleine für zusätzliche Hardware sollen 
rund 2,4 Millionen Euro aufgewendet 
worden sein. In Summe seien 13 Milli- 
onen Euro „für ergänzende Tätigkeiten 
anderer Unternehmen ausgegeben” 
worden. In beiden Fällen möchte das 
Ministerium „aufgrund vertraglicher 
Verpflichtungen” keine konkreten Emp- 
fänger oder Leistungen mitteilen. Mitt- 
lerweile kostet das Gesamtprojekt das 
Land NRW insgesamt 39 Millionen Euro. 

Im NRW-Landtag kannten die Abge- 
ordneten diese Zahl bisher nicht. Hart- 
mut Ganzke (SPD) erinnert sich, dass 
er im März 2021 noch überrascht war. 
Das Innenministerium hatte versucht 
7 Millionen Euro für die Software als 
Corona-Mehrkosten bewilligt zu bekom- 
men: „In der Rückschau kann man viel- 
leicht sagen, dass der Minister versucht 
hat zu tricksen, dass er uns die not- 
wendigen Informationen nicht an die 
Hand gegeben hat.” Innenminister Reul 
nannte das einen Fehler, verneinte aber 
eine Täuschungsabsicht. In Bezug auf 
die Anschaffung der Palantir-Software 
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hat es nach Reul keine Kostensteige- 
rungen gegeben: „Palantir ist nicht teu- 
rer geworden, sondern wir haben falsch 
eingeschätzt und wir haben nachher 
sauber die Leistungen dazugerechnet, 
die nicht Palantir sind, die aber zu dem 
Projekt dazu gehören.” 

Marc Lürbke (FDP) war zum Zeitpunkt 
der Entscheidung für Palantir noch 
Teil der Regierungskoalition im Land- 
tag. Doch auch er fühlt sich bis heute 
nicht ausreichend informiert, hat nach 
eigenem Bekunden keine Kenntnis- 
se darüber, wie die Verträge mit dem 
US-Unternehmen ausgestaltet wurden 
oder welche Kosten dem Steuerzahler 
in Zukunft noch entstehen: „Ich würde 
mir wünschen, der Innenminister würde 
hier für Transparenz sorgen.” 

Einen Teil der Millionen erhielt Pa- 
lantir aus NRW, ohne dass die Software 
überhaupt schon zum regulären Einsatz 
kam. Mehr als anderthalb Jahre lief das 
System nur in einem Testbetrieb. Die 
rechtliche Grundlage, um das System zu 
nutzen, war ungeklärt. Innenminister 
Reul meinte zunächst, dass kein neu- 
es Gesetz nötig sei. Noch im November 
2020 wiederholte er vor dem Innenaus- 
schuss, die Landesregierung habe „alles 
Mögliche datenschutzrechtlich über- 
prüft, weil sie wohl kaum ein rechtlich 
nicht sicheres Projekt starte”. Dies gelte 
sowohl für die Vergabe als auch für den 
Datenschutz. 

Das Büro der NRW-Datenschutzbe- 
auftragten drängte allerdings auf eine 
neue rechtliche Regelung; Reul änderte 
seine Haltung. Im April 2022 beschloss 
der Landtag ein neues Polizeigesetz, das 
den Einsatz der Datenbanksoftware aus- 
drücklich erlaubt. 

Statt wie in der Ausschreibung gefor- 
dert, ab dem dritten Quartal 2020 die 
Software bei Ermittlungen einzusetzen, 
konnte Palantir erst Anfang Mai 2022 
für die reguläre Benutzung freigegeben 
werden. Die Weigerung des Innenminis- 
teriums die Datenschutzbehörde früher 
einzubinden, könnte den Steuerzahler 
so Millionen gekostet haben. Denn die 
Zahlungen von jährlich bis zu 6,8 Millio- 
nen Euro liefen bereits. 

Bettina Gayk, die Landesbeauftragte 
für Datenschutz in NRW, meinte: „Man 
hätte uns früher einbeziehen sollen.” 
Zum Zeitpunkt der Auftragsvergabe an 
Palantir war sie noch nicht im Amt. Mit 


dem neuen Polizeigesetz sieht sie ge- 
währleistet, dass die Software nicht bei 
Bagatelldelikten eingesetzt wird: „Die 
Frage ist aber: Wie wird das in der Pra- 
xis gewährleistet?” Dafür soll zeitnah 
ein Kontrolltermin im LKA organisiert 
werden, „weil das einfach so ein gravie- 
rendes Verfahren ist, dass es wichtig ist, 
dass das in engen Bahnen bleibt“. 

Reul beschreibt den Einsatz der Soft- 
ware als vollen Erfolg. Es seien schon 
mehrfach Straftaten damit verhindert 
worden, etwa Geldautomatensprengun- 
gen und auch sexualisierte Gewalt an 
Kindern: Die Polizei nutzt laut Minis- 
terium das System inzwischen täglich. 
Es ist umstritten, ob die Regelungen 
in NRW die Grundrechte tatsächlich 
ausreichend schützen. Jürgen Bering, 
Bürgerrechtler bei der Gesellschaft für 
Freiheitsrechte (GFF), erklärte: „Esmuss 
viel klarer werden, was ist die Schwelle, 
welcher Verdacht muss eigentlich schon 
bestehen, ab dem die Software einge- 
setzt werden kann.” Die Software sei 
in der Lage Data-Mining zu betreiben 
also selbst neue Informationen aus den 
abgefragten Daten zu erzeugen, was 
nur bei schwersten Straftaten erlaubt 
sei, etwa Terrorismus oder Kindes- 
missbrauch. Das NRW-Gesetz lässt den 
Einsatz der Software dagegen auch bei 
Straftaten wie Betrug, Beamtenbeste- 
chung oder Volksverhetzung zu. 

Das Innenministerium bestreitet, 
dass die Polizei mit der Software Data- 
Mining betreibe. Die GFF kündigte eine 
Verfassungsbeschwerde an. Letztlich 
dürfte also das Bundesverfassungsge- 
richt entscheiden, ob die Polizei in NRW 
die Palantir-Software weiter wie bisher 
nutzen darf (Hell/Kartheuser, NRW- 
Polizei: Knapp 40 Millionen Euro für um- 
strittene Palantir-Software, www1.wdr. 
de 25.09.2022). 


Rheinland-Pfalz 


Kirchliche Geheimhaltung 
schützt Täter und stellt 
Opfer bloß 


Im Auftrag von Karin Weißenfeld 
(Pseudonym, im weiteren Text K.W.) 
hat der Bamberger Kirchenrechtsan- 
walt Friedolf Lappen den Trierer Bi- 
schof Stephan Ackermann wegen des 
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indirekten Bruchs des Beichtgeheim- 
nisses bei Papst Franziskus angezeigt. 
K.W. ist, wie die unabhängige Aufar- 
beitungskommission im August 2022 
festgestellt hat, Opfer sexuellen Miss- 
brauchs. Ackermann war seit 2010 der 
Missbrauchsbeauftragte der deutschen 
Bischofskonferenz. K.W. arbeitete seit 
Ende der 80er Jahre als Gemeinderefe- 
rentin mit ihrem Chef J.D. zusammen, 
ein mehr als 20 Jahre älterer Priester. 
Die 30jährige, streng katholisch erzo- 
gene K.W. war sexuell völlig unerfahren. 
Sie wurde von J.D. missbraucht, konnte 
sich aber nicht wehren. Nach einigen 
Monaten wurde sie schwanger; J.D. trieb 
sie zum Schwangerschaftsabbruch, 
doch K.W. wollte - im Sinne der katho- 
lischen Lehre - das Kind austragen. Sie 
offenbarte in einer Beichte dem Geist- 
lichen M.B., einem guten Freund von 
J.D., dass sie aus der Arztpraxis davon- 
gelaufen sei, doch der drängte sie auch 
zur Abtreibung, so dass sie doch von 
den beiden Geistlichen zur Abtreibung 
gebracht wurde. J.D. beschwörte K.W. 
von der Abtreibung niemandem zu er- 
zählen, missbrauchte sie aber - gemäß 
den Angaben von K.W. - weiterhin viele 
Jahre lang fast täglich. J.D. beichtete 
dies seinem Freund M.B. telefonisch, 
der ihn von seinen Sünden immer wie- 
der lossprach: „Ego te absolvo - ich 
spreche dich los von deinen Sünden.” 

Erst nach vielen Jahren konnte sich 
K.W., die beruflich und emotional von 
J.D. abhängig war, von diesem lösen. Im 
Buch „Erzählen als Widerstand” schil- 
dert sie unter ihrem Pseudonym „Ka- 
rin Weißenfels“ ihr Martyrium, möchte 
aber, da sie weiterhin im Bistum arbei- 
tet, nicht, dass ihr Klarname bekannt 
wird. Dessen ungeachtet offenbarte 
Bischof Ackermann während einem On- 
line-Hearing zu Fällen sexueller Gewalt 
ihren wirklichen Namen, so dass min- 
destens 40 Mitarbeitende des Bistums 
die Vorgänge ihrer Person zuordnen 
können. 

K.W.s Anwalt Oliver Stegmann legte 
daraufhin Beschwerde bei der katho- 
lischen Datenschutzstelle ein, hörte 
aber bis Ende September 2022 von die- 
ser nichts über eine Entscheidung. Der 
Kirchenrechtsanwalt Friedolf Lappen 
wendete sich daraufhin wegen der Ver- 
letzung des Beichtgeheimnisses an den 
Papst. 
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Kirchenrechtlich ist der Beichtge- 
heimnisbruch ein schweres Vergehen, 
das bis zur Exkommunikation geahndet 
werden kann. Aus Rom gab es bis Ende 
September 2022 keine Antwort. 

In dem Fall spielt der heutige Erzbi- 
schof von München und Freising Kardi- 
nal Reinhard Marx, der Vorgänger von 
Bischof Ackermann in Trier, eine Rolle. 
Er führte mit K.W. mehrere Gespräche, 
doch erst als die Frau einen Kirchen- 
rechtler einschaltete, passierte nach 
Jahren etwas. Marx ließ J.D. im Jahr 
2004 und drei Jahre später den Beicht- 
priester M.B. für irrequlär erklären we- 
gen der „positiven Mitwirkung an einer 
Abtreibung”. Kurz darauf begnadigte 
die Kleruskongretation im Vatikan J.D.; 
Marx hatte J.D. auf diese Möglichkeit 
hingewiesen. Auch M.B. wurde begna- 
digt. Der Vorwurf des sexuellen Miss- 
brauchs, den K.W. schon im Januar 
2003 erhob, wurde straf- oder kirchen- 
rechtlich nie untersucht und verfolgt, 
obwohl J.D. seine Schuld gegenüber 
K.W. vollumfänglich eingestanden hat- 
te. Im Dezember 2021 erfuhr K.W., dass 
J.D. sowohl den Rat zur Abtreibung wie 
auch die sexualisierte Gewalt offiziell 
gegenüber dem Bistum geleugnet hatte. 
Wenig später, ohne dass noch eine wei- 
tere Aufklärung möglich war, starb J.D. 
In den Zwischenbericht der unabhän- 
gigen Aufarbeitungskommission zum 
Handeln der Bistumsverantwortlichen 
wurde der Fall von K.W. nicht aufgenom- 
men. Eine wirkliche Ahndung all der 
Verstöße - einschließlich der Verlet- 
zungen des Beichtgeheimnisses - blieb 
aus. K.W. erinnert sich, dass Ackermann 
ihr, wohl um sie zu trösten, gesagt habe, 
M.B. sei ja wenigstens nicht Bischof ge- 
worden. Sie bleibt gegenüber Bistums- 
mitarbeitenden bloßgestellt (Zoch, 
Schnell vergeben, nicht aufarbeiten, SZ 
24./25.09.2022, 6). 


Sachsen-Anhalt 


Wahl des Datenschutz- 
beauftragten erneut 
gescheitert 


Die schwarz-rot-gelbe Koaliti- 
on in Sachsen-Anhalt scheiterte am 
13.10.2022 erneut an der Wahl eines Da- 
tenschutzbeauftragten. Landtagsprä- 


sident Gunnar Schellenberger musste 
schon kurz nach Beginn der Landtags- 
sitzung verkünden, dass es auch nach 
vier Jahren und im fünften Anlauf nicht 
gelungen war einen Datenschutzbeauf- 
tragten zu wählen: „Es gibt keinerlei 
Aussicht auf Erfolg. Aus diesem Grund 
beende ich hiermit das Verfahren.” 

Das Desaster für den Datenschutz 
in dem Land ist zugleich eine Belas- 
tungsprobe für die schwarz-rot-gelbe 
„Deutschland-Koalition“, nachdem die 
CDU-Fraktion dem Kandidaten eine 
krachende Abstimmungsniederlage 
bescherte. Ganze 16 Ja-Stimmen von 
der Fraktion bekam Albert Cohaus, der 
seit zwei Jahren fachlich anerkannt 
interimsmäßig die Geschäfte des Lan- 
desdatenschutzbeauftragten führt. 51 
Abgeordnete stimmten mit Nein, elf 
enthielten sich. 49 Stimmen wären für 
die Wahl nötig gewesen; CDU, SPD und 
FDP kommen zusammen auf 56, die CDU 
ist mit 40 Sitzen stärkste Fraktion. 

Rein rechnerisch könnte CDU-Mi- 
nisterpräsident Reiner Haseloff allein 
mit der SPD regieren; er formte aber 
im Sommer 2021 ein Dreierbündnis mit 
der FDP, weil er sich der Unterstützung 
seiner CDU-Fraktion nicht immer sicher 
sein konnte. Den strikten Abgrenzungs- 
kurs zur AfD beispielsweise finden dort 
nicht alle richtig. So offen wie bei die- 
ser Datenschützerwahl zeigte sich der 
Widerstand aber bislang nicht. Noch 
Anfang der gleichen Woche, am Mon- 
tag, hatte Fraktionschef Guido Heuer 
Unterstützung für Cohaus signalisiert: 
„Ich gehe davon aus, dass wir einen 
Datenschutzbeauftragen wählen wer- 
den.” Am Mittwoch erklärte Heuer dann 
überraschend, die Abstimmung in der 
CDU-Fraktion sei freigegeben. Damit 
stand das zweite Scheitern von Cohaus 
praktisch fest. Im März 2022 hatten ihm 
nur drei Stimmen zur Mehrheit gefehlt. 
Seitdem wird spekuliert, dass Teile der 
CDU-Fraktion lieber einen Parteifreund 
statt eines Experten im Amt sähen. Die 
Nichtwahl eines Datenschutzbeauftrag- 
ten hat in Magdeburg schon Tradition: 
Dreimal verfehlte 2018 der Kandidat der 
damaligen „Kenia-Koalition” die nöti- 
ge Mehrheit (DANA 2/2018, 108 f.). 

Bundesdatenschutzbeauftragter Ul- 
rich Kelber äußerte sich frustriert: „Es 
macht mich fassungslos. Dieser Verstoß 
gegen die Datenschutz-Grundverord- 
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nung ist in der gesamten Europäischen 
Union ohne Vergleich.“ Es sei nicht aus- 
zuschließen, dass die EU-Kommission 
nun ein Vertragsverletzungsverfah- 
ren gegen Deutschland einleite. Der 
parlamentarische Geschäftsführer der 
Grünen-Fraktion, Sebastian Striegel, 
meinte: „Dass Ministerpräsident Ha- 
seloff dabei zuschaut, wie sein Frakti- 
onsvorsitzender die zahlenmäßig über- 
aus komfortable Regierungsmehrheit 
schrotet, ist ein auch für CDU-Maßstäbe 
beeindruckender Tiefpunkt von Füh- 
rungslosigkeit.”“ Die Koalition gestalte 
nichts mehr: „Ihre Mehrheit reicht nur 
noch zum Nein.” Linken-Fraktions-Che- 
fin Eva von Angern sprach von einem 
inakzeptablen Debakel: „Sie sollten da- 
rüber nachdenken, ob sie würdig sind, 
eine Regierung zu tragen.” 

FDP und SPD zeigten sich enttäuscht. 
SPD-Fraktionschefin Katja Pähle sagte: 
„Es ist ein Trauerspiel, dass es im Land- 
tag von Sachsen-Anhalt nicht möglich 
istwie in allen anderen Landtagen einen 
Datenschutzbeauftragten zu wählen.” 
Man werde nun in der Koalition nach 
Lösungen suchen. Cohaus selbst gab 
sich gefasst: „Man ist da als Bewerber 
zwischen den politischen Fronten.“ Die 
Geschäfte werde er weiter interimsmä- 
ßig führen. Seine altersbedingte Pensi- 
onierung steht im April 2025 an (Mayer, 
Belastungsprobe für Schwarz-Rot-Gelb, 
SZ 14.01.2022, 5). 


Schleswig-Holstein 


QR-Code-Versendung für 
E-Rezept ist personen- 
bezogen 


Die Landesdatenschutzbehörde 
Schleswig-Holstein, das Unabhängige 
Landeszentrum für Datenschutz (ULD), 
hat die Einführung von OR-Codes im Rah- 
men des E-Rezepts gestoppt. Das Versen- 
den des Codes per SMS oder E-Mail stellt 
laut dem ULD eine Übermittlung von Pa- 
tientendaten dar. Wenn die Mails mit dem 
Code nicht Ende-zu-Ende-verschlüsselt 
sind, sei das Versenden unsicher. Auch 
Apps zur Übermittlung seien nicht si- 
cher: „Dabei ist zu berücksichtigen, dass 
auf dem Markt frei erhältliche Apps aus 
dem Apothekenumfeld jeder Person, die 
befugt oder unbefugt im Besitz des OR- 
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Codes ist, die Kenntnisnahme von Daten 
einer Verordnung ermöglicht.” Für einen 
Missbrauch dieser Daten könnten poten- 
tiell die ausstellenden Ärzte in Haftung 
genommen werden. Auch eine Zustim- 
mung der Patienten für die Übermittlung 
an sie oder an eine Apotheke ändere 
nichts an dieser Bewertung. 

Die QR-Codes für E-Rezepte werden 
generiert, wenn die Praxisverarbei- 
tungssoftware (PVS) einer Arztpraxis ein 
Rezept ausstellt. Das wird über die Tele- 
matikinfrastruktur (TI) an die Gematik 
geleitet, die für die TI zuständig ist. 
Der dem Patienten oder der Patientin 
bereit gestellte QR-Code kann dann von 
Apotheken gescannt werden, sodass die 
benötigten Daten, wie Name, Adresse, 
Versichertennummer, Krankenkasse, 
ausstellende Praxis, Rezept und Dosie- 
rung, sichtbar werden, ebenso wie auf 
einem analogen Rezept. Im Gegensatz 
zum Papierrezept seien aus einem OR- 
Code zwar keine der obengenannten Da- 
ten ersichtlich, so das ULD. Nach einem 
Scan sei das aber der Fall, weshalb das 
nicht verschlüsselte Verschicken des 
Codes nicht zulässig sei. Das sei unsi- 
cherer als ein Papierrezept, über das die 
Patienten physisch verfügten. 

Eigentlich sollten ab September 2022 
alle Apotheken in der Lage sein E-Rezep- 
te einzulesen. Praxen sollen erst nach 
und nach regional verpflichtet werden. 

Die ehemalige Beauftragte der Bun- 
desregierung für die Belange der Patien- 
tinnen und Patienten und Bundestags- 
abgeordnete Claudia Schmidtke (CDU) 
kommentierte den Vorgang: „Dass das 
E-Rezept vom Landesdatenschutz in SH 
gekippt wird, zeigt, wie weit wir vom di- 


gitalen Gesundheitswesen in Deutsch- 
land entfernt sind.” Laut Mitteilung der 
Kassenärztlichen Vereinigung Schles- 
wig-Holstein (KVSH) würden durch die 
Bewertung aus Schleswig-Holstein 99% 
aller digitalen Übermittlungswege un- 
möglich. Auch die App der Gematik ist 
in den meisten Fällen noch nicht nutz- 
bar, weil die Patienten unter anderem 
NFC-fähige Karten brauchen, um die 
E-Rezept-App nutzen zu können. Die 
seien allerdings aufgrund des aktuellen 
Chipmangels auch Mangelware. 

Das ULD wehrte sich gegen die Be- 
hauptung, es habe das E-Rezept in 
Schleswig-Holstein untersagt. In der 
erst im Juli 2022 erbetenen Beratung 
der KVSH hatte das ULD auf das Risiko 
des E-Mailversands hingewiesen und 
mehrere mögliche Lösungen aufgezeigt: 
Anstelle der E-Rezept-App oder des Aus- 
drucks kämen beispielsweise die Nut- 
zung des Systems „Kommunikation im 
Medizinwesen“ (KIM) oder ein digitaler 
Versand z. B. per E-Mail mit zusätzlicher 
Ende-zu-Ende-Verschlüsselung infra- 
ge. Dadurch verbleibe den Patienten 
die Verfügungsgewalt über ihre Daten. 
Die Landesbeauftragte für Datenschutz 
und ULD-Chefin Marit Hansen erläuter- 
te: „Wer auf eine unsichere Alternative 
setzt, verursacht damit ein Risiko für 
die betroffenen Personen und würde 
sogar den Anreiz nehmen die zu die- 
sem Zweck entwickelten Systeme mit 
einem angemessenen Schutz einzuset- 
zen.” (Datenschützer stoppen E-Rezept 
in Schleswig-Holstein, Tagesspiegel 
Digitalisierung & KI, 23.08.2022; ULD, 
E-Rezept-Verfahren: maschinenlesbare 
Codes schützen! PE v. 23.08.2022). 


Datenschutznachrichten aus dem Ausland 


Weltweit/China 


Globaler digitaler Autorita- 
rismus auf dem Vormarsch 


Ende September 2022 haben der Iran, 
die Türkei, Myanmar und eine Handvoll 
weiterer Länder Schritte unternommen, 
um Vollmitglieder der sogenannten 
Shanghaier Organisation für Zusam- 


menarbeit (SOZ, auf Englisch: SCO) 
zu werden, einer wirtschaftlichen wie 
politischen Allianz, die von den auto- 
ritären Regimen Chinas und Russlands 
angeführt wird. Die 2001 gegründete 
Gemeinschaft hat sich schnell zu einer 
der wichtigsten Kräfte in der Weltpoli- 
tik entwickelt, für die Technologie ein 
wichtiger Bestandteil ihrer strategi- 
schen Zukunft ist. Obwohl sich die SOZ 
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vor allem auf die regionale Entwicklung 
konzentriert, z.B. auf Eisenbahnlini- 
en und Handelsabkommen, ist sie ein 
wichtiger Akteur bei der Verbreitung 
von Technik zur sozialen Kontrolle, die 
als „digitaler Autoritarismus” bezeich- 
net werden kann. Mit der Türkei beab- 
sichtigt erstmals ein NATO-Land der SOZ 
vollständig beizutreten. 

Die Mehrheit der SOZ-Mitgliedslän- 
der sowie andere autoritäre Staaten, 
die sich in ihrem Dunstkreis befinden, 
tendieren gemäß dem Vorbild China zu 
mehr digitalen Menschenrechtsverlet- 
zungen und praktizieren technische 
Massenüberwachung der Bürger, Zen- 
sur im Internet sowie eine Kontrolle der 
individuellen und journalistischen Mei- 
nungsäußerung. 

Auch Demokratien setzen in großem 
Umfang Überwachungstechnik ein. In 
den Vereinigten Staaten kommt massiv 
Kameraüberwachung zum Einsatz, die 
ironischerweise vorrangig aus China 
kommt. Doch die technologischen Han- 
delsbeziehungen zwischen autoritären 
Ländern überall auf der Welt - sowohl 
zwischen den Mitgliedern der OSZE als 
auch ihren Verbündeten - vertiefen sich 
zusehends. Diese Staaten nutzen ähnli- 
che Spielregeln für eine digital gestützte 
soziale Kontrolle und kopieren einander. 


+ Berichte von Freedom House 


2018 konzentrierte sich Freedom 
House, eine gemeinnützige Forschungs- 
und Interessensgruppe für globale De- 
mokratie, auf den „Aufstieg des digita- 
len Autoritarismus”. Damals erschien 
ihr Jahresbericht über den Zustand der 
Freiheit im Internet. Darin steht: „Digi- 
taler Autoritarismus wird als eine Mög- 
lichkeit für Regierungen begriffen ihre 
Bürgerinnen und Bürger durch Tech- 
nologie zu kontrollieren - und stellt 
das Konzept des Internet als Motor der 
menschlichen Freiheit auf den Kopf.” 
Die amerikanische Regierung hat mitt- 
lerweile diese Sichtweise übernommen 
und nennt als Hauptakteur China. Es 
besteht ein enger Zusammenhang zwi- 
schen Regierungssystemen und dem 
jeweiligen Stand der digitalen Rechte, 
wobei autoritäre Regime eher als demo- 
kratische Regime dazu neigen Techno- 
logie als weiteren Bereich für die soziale 
Kontrolle zu nutzen. 
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Die Forschenden von Freedom House 
versuchen dieses Phänomen in ihren 
Jahresberichten zu quantifizieren, in- 
dem sie die Länder nach einer Reihe 
von Faktoren bewerten, darunter dem 
Schutz der Privatsphäre, der Zensur und 
den Hindernissen, die es für einen frei- 
en Internetzugang gibt. Weltweit sind 
die Werte elf Jahren in Folge gesunken, 
was bedeutet, dass sich die Welt im All- 
gemeinen von einem Internet entfernt, 
das die digitalen Rechte der Nutzer 
schützt. Keines der nicht-demokrati- 
schen Länder wurde von Freedom House 
als eines mit „freiem“ Internet einge- 
stuft, während alle demokratischen 
Länder entweder als „frei“ oder „teilwei- 
se frei” bewertet wurden. 

Alle acht derzeitigen Mitglieder der 
SOZ - China, Russland, Tadschikistan, 
Usbekistan, Kasachstan, Kirgisistan, In- 
dien und Pakistan - schneiden schlecht 
ab. Ihre Werte sind in den letzten zehn 
Jahren um durchschnittlich 10 Punkte 
gefallen. China belegte im letzten Jahr 
den letzten Platz auf der Berichtskarte 
von Freedom House - wie jedes Jahr seit 
2014. Iran, noch kein Vollmitglied der 
SOZ, belegte den vorletzten Platz. Seine 
wirtschaftlichen Beziehungen zu China 
haben sich in den letzten Jahren inten- 
siviert und dies insbesondere auch bei 
digitaler Überwachungstechnologie. 


° Die Rolle der USA und von China 


Das Ausmaß des Exports von Autori- 
tarismus durch China und die globale 
Rolle der USA hierbei sind umstritten. 
MIT Technology Review berichtete, wie 
sich eine Initiative des US-Justizminis- 
teriums, die chinesische Spione aus- 
findig machen sollte, zu einem großen 
Schlamassel entwickelt hat. Andere Un- 
tersuchungen weisen hingegen auf eine 
starke Nachfrage nach chinesischer 
Überwachungstechnologie in Ländern 
mit hoher Kriminalitätsrate hin - un- 
abhängig davon, ob es sich um Demo- 
kratien handelt oder nicht. Es ist aber 
weitgehend unstreitig, dass der chine- 
sische Staat über die SOZ und die soge- 
nannte Belt and Road Initiative (BRI, 
„Neue Seidenstraße”), sein wichtigstes 
außenpolitisches Unternehmen, das die 
Entwicklung der Infrastruktur in über 
140 Ländern fördern soll, über staats- 
nahe Unternehmen andere Länder mit 


Sicherheits- und Überwachungstech- 
nologie umfassend ausstattet. 

Chinas Einfluss auf den digitalen Au- 
toritarismus ist kaum zu überschätzen. 
Seine öffentlichen und privaten Social- 
Credit-Programme, die erstmals 2014 
angekündigt wurden, sammeln und ag- 
gregieren Daten über die Einkäufe, Ver- 
kehrsverstöße und sozialen Aktivitäten 
der Menschen. Die chinesischen Städte 
sind die am stärksten überwachten der 
Welt, mit mehr Kameras pro Quadratki- 
lometer als irgendwo sonst. Diese Ka- 
meras sind häufig mit Gesichtserken- 
nung und visueller Computeranalyse 
ausgestattet, was die Überwachung für 
den Sicherheitsapparat und die Kommu- 
nistische Partei erleichtert. 

Die größten Projekte der SOZ werden 
in der Regel von China geleitet und fi- 
nanziert; dazu gehören die transafgha- 
nische Eisenbahnlinie, die Usbekistan 
mit Pakistan verbindet, eine digitale 
Handelsplattform in Chongqing und 
gemeinsame Militärübungen. Aber es 
hat auch Initiativen wie das Programm 
„Thousand Cities Strategic Algorithms” 
gefördert, das Zentralregierungen er- 
mutigt große Datenmengen zur Ent- 
scheidungsfindung zu nutzen. Zwischen 
Januar und August 2022 stieg der chine- 
sische Handel mit den SOZ-Ländern um 
26% gegenüber dem Vorjahreszeitraum. 
Ein großer Teil dieses Volumens entfiel 
auf chinesische Exporte elektronischer 
Komponenten, einschließlich Datenver- 
arbeitungstechnologien. 

Außerhalb der SOZ kündigte das au- 
tokratische Regime Venezuelas 2017 
einen „intelligenten Ausweis” für seine 
Bürgerinnen und Bürger an, der mit Hil- 
fe des chinesischen Telekommunikati- 
onsunternehmens ZTE Informationen 
über Beschäftigung, Wahlen und me- 
dizinische Versorgung zusammenfasst. 
Huawei, ein weiteres chinesisches Tele- 
kommunikationsunternehmen, verfügt 
laut Jahresbericht 2021 über ein globa- 
les Netzwerk von 700 Orten mit seiner 
hauseigenen Smart-City-Technologie. 
Dies ist ein Anstieg gegenüber 2015, als 
das Unternehmen etwa 150 internatio- 
nale Verträge mit Städten hatte. 

Auch Demokratien sind in den digi- 
talen Autoritarismus verwickelt. Die 
USA verfügen über ein beeindrucken- 
des Überwachungssystem, das auch 
auf chinesischer Technologie basiert. 
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Eine aktuelle Studie der Branchenfor- 
schungsgruppe Top10VPN ergab, dass 
über 700.000 US-Kameranetzwerke von 
den chinesischen Unternehmen Hikvisi- 
on und Dahua betrieben werden (DANA 
3/2022, 196 ff.). 

US-Unternehmen sind oft Schlüssel- 
akteure in komplexen Lieferketten, was 
eine Isolierung autoritärer Staaten oder 
auch nur eine Rechenschaftspflicht er- 
schwert. So betreibt Intel beispielsweise 
angeblich Server für Tiandy, ein chine- 
sisches Unternehmen, das für die Ent- 
wicklung von Hardware bekannt ist, die 
Berichten zufolge bei Folterungen ein- 
gesetzt wird. Der digitale Autoritarismus 
geht über Software und Hardware hinaus. 
Im weiteren Sinne geht es darum, wie 
der Staat die Technologie nutzen kann, 
um seine Kontrolle über die Bürger zu 
verstärken. Von staatlichen Akteuren 
verursachte Internet-Blackouts haben 
in den letzten zehn Jahren dauernd zu- 
genommen. Die Fähigkeit eines Staates 
das Internet abzuschalten, ist an das 
Ausmaß seiner Verfügungsmacht über 
die Internet-Infrastruktur gebunden - 
ein Markenzeichen autoritärer Regime 
wie China und Russland. Und je wichtiger 
das Internet für alle Lebensbereiche wird, 
desto mehr können solche Blackouts zur 
Destabilisierung und zum Schaden der 
Menschen beitragen. Anfang 2022, als re- 
gierungsfeindliche Proteste Kasachstan, 
ein SOZ-Mitglied, erschütterten, schalte- 
te der Staat das Internet fünf Tage lang 
fast vollständig ab. Während dieser Zeit 
rückten russische Truppen in Großstädte 
ein, um die Proteste zu unterdrücken. Der 
Blackout kostete das Land mehr als 400 
Millionen Dollar und führte zur Unterbre- 
chung wichtiger Dienste. 


« Strategien 


Zu den weiteren Taktiken gehören 
Modelle für die Nutzung von „Data Fu- 
sion“ und Künstlicher Intelligenz zur 
Verarbeitung von Überwachungsdaten. 
Während des SOZ-Gipfels 2021 veran- 
stalteten chinesische Vertreter eine Po- 
diumsdiskussion über die strategischen 
„Algorithmen der Tausend Städte”, in 
der den Zuhörern erklärt wurde, wie 
ein „nationales Datengehirn” entwi- 
ckelt werden kann, das verschiedene 
Formen von Finanzdaten integriert und 
Künstliche Intelligenz einsetzt, um sie 
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zu analysieren und sinnvoll zu nutzen. 
Laut der SCO-Website führen 50 Länder 
„Gespräche“ mit der Initiative Thousand 
Cities Strategic Algorithms. 

In diesem Zusammenhang verbrei- 
tet sich der Einsatz von Gesichtserken- 
nungstechnologien weltweit, und auch 
die Investitionen in fortschrittliche 
Bildverarbeitung, die dabei helfen kann 
aus Kamerabildern sinnvolle Daten ab- 
zulesen, haben zugenommen, insbe- 
sondere in Russland. In seiner Rede auf 
dem SOZ-Gipfel im September 2022 ging 
der chinesische Präsident Xi Jinping so 
weit die globale Mentalität des Kalten 
Krieges und die zunehmend protektio- 
nistische Haltung gegenüber dem Han- 
del anzuerkennen. Xi drängte darauf, 
dass Kooperationsabkommen „in Be- 
reichen wie Handel und Investitionen, 
Aufbau von Infrastruktur, Schutz von 
Lieferketten, wissenschaftlichen und 
technologischen Innovation und Künst- 
liche Intelligenz” im Rahmen des Gipfels 
verabschiedet werden. Hierzu will er 
mehr Nationen in die chinesische Um- 
laufbahn bringen. Während er sich für 
die Werte des Friedens und des Multi- 
lateralismus einsetzte, forderte er „eine 
engere SOZ-Gemeinschaft mit einer ge- 
meinsamen Zukunft”. Zu dieser Zukunft 
gehört auch die offizielle Verkündung 
eines neuen Bildungsprogramms des 
„China-SCO Institute of Economic and 
Trade“ an der Universität Qingdao, das 
im Januar 2022 begann und Studenten 
in SOZ- und BRI-Staaten in Themen wie 
wirtschaftliche Entwicklung und dem 
digitalen Handel schulen wird. (Dieses 
Programm baut auf früheren Schulun- 
gen auf, die China mit BRI-Ländern zum 
Management digitaler Medien durch- 
geführt hat.) Es gibt bisher wenig Ini- 
tiativen, die das globale Wachstum des 
digitalen Autoritarismus aufzuhalten 
versuchen (Ryan-Mosley, Wie autoritäre 
Länder Überwachungstechnik aus Chi- 
na einsetzen, www.heise.de 26.09.2022, 
Kurzlink: https://heise.de/-7273169). 


EU 


EDSB klagt wegen Massen- 
verarbeitung gegen Europol 


Der EU-Datenschutzbeauftragte 
(EDSB) Wojciech Wiewiörowski bean- 


tragte am 16.09.2022 beim Europäi- 
schen Gerichtshof (EuGH) die Artikel 
74a und 74b der jüngst geänderten 
Europol-Verordnung für nichtig zu er- 
klären. Diese hätten den Effekt, „dass 
sie rückwirkend die Praxis des Euro- 
päischen Polizeiamts (Europol) legali- 
sieren große Mengen an personenbe- 
zogenen Daten von Personen zu verar- 
beiten, ohne dass eine Verbindung zu 
einer kriminellen Aktivität nachgewie- 
sen ist”. 

Die kritisierte Europol-Verordnung 
ist Ende Juni 2022 in Kraft getreten, 
womit das Mandat für Europol deut- 
lich erweitertet wird. Seine Ermittler 
dürfen danach künftig umfangreiche 
und komplexe Datensätze verarbeiten 
und mit Big-Data-Analysen die Mit- 
gliedstaaten in ihrem Kampf gegen 
schwere Kriminalität und Terroris- 
mus unterstützen. Vor allem nationa- 
le Strafverfolgungsbehörden wie das 
Bundeskriminalamt (BKA) oder die 
französische Nationalpolizei beliefern 
Europol schon seit Jahren mit großen 
Mengen an Daten. Der Datenspeicher 
des Polizeiamts umfasst Schätzungen 
zufolge spätestens mit dem Unterwan- 
dern der verschlüsselten Kommunika- 
tionsdienste Sky ECC und Encrochat 
mittlerweile insgesamt mindestens vier 
Petabyte. 

2020 hatte Wiewiörowski gerügt, 
dass Europol-Ermittler mit dem Sam- 
meln und Analysieren nicht mehr über- 
schaubarer Datenmengen ihre Befug- 
nisse überschreiten und rechtswidrig 
handeln. Unverdächtige wie Opfer, 
Zeugen oder Kontaktpersonen liefen 
damit Gefahr „unrechtmäßig mit einer 
kriminellen Aktivität in der gesamten 
EU in Verbindung gebracht zu werden”. 

Der EDSB ordnete Anfang 2022 an, 
dass die Strafverfolgungsbehörde 
künftig binnen sechs Monaten ent- 
scheiden müsse, ob sie erhaltene per- 
sonenbezogene Informationen länger- 
fristig speichern und verwenden darf. 
Diese Auflage wurde mit dem novellier- 
ten Mandat weitgehend hinfällig. 

Wiewiörowski stellt mit seiner Klage 
ernüchtert fest, dass die EU-Gesetz- 
geber beschlossen hätten „diese Art 
der Datenverarbeitung rückwirkend zu 
legalisieren“ und so seine Anordnung 
„außer Kraft zu setzen”. Er sehe sich 
daher gezwungen gegen die beiden Ar- 
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tikel vorzugehen. Es gelte die „Rechts- 
sicherheit für Einzelpersonen in dem 
hochsensiblen Bereich der Strafverfol- 
gung zu schützen“. Die Verarbeitung 
personenbezogener Daten bringe in 
diesem Bereich „schwere Risiken für 
die betroffenen Personen mit sich”. 

Wiewiörowski will ferner sicher- 
stellen, „dass der EU-Gesetzgeber im 
Bereich des Schutzes der Privatsphä- 
re und des Datenschutzes, in dem der 
unabhängige Charakter der Ausübung 
der Durchsetzungsbefugnisse einer 
Aufsichtsbehörde Rechtssicherheit in 
Bezug auf die durchzusetzenden Vor- 
schriften erfordert, nicht in unzulässi- 
ger Weise ‚die Zielpfosten verschiebt“. 
Er spart so nicht mit Kritik am Vorge- 
hen des EU-Parlaments und der Mit- 
gliedsstaaten. 

Bei der Erhebung von Daten im Rah- 
men der früheren Europol-Verordnung 
konnten die Bürger Wiewiörowski 
zufolge zumindest davon ausgehen, 
dass Europol beim Erhalt ihrer perso- 
nenbezogenen Daten verpflichtet sein 
würde, „innerhalb von sechs Monaten 
zu prüfen, ob eine Verbindung zu ei- 
ner kriminellen Tätigkeit besteht“. 
Andernfalls sollten einschlägige Infor- 
mationen - wie von ihm vorgeschrie- 
ben - in einem ersten Schritt spätes- 
tens am 04.01.2023 gelöscht werden. 
Die neuen Bestimmungen erlaubten 
es den Ermittlern aber die noch nicht 
gelöschten Daten trotz der Anord- 
nung weiter zu verarbeiten: „Die Ent- 
scheidung der Mitgesetzgeber solche 
Änderungen einzuführen, untergräbt 
die unabhängige Ausübung der Befug- 
nisse der Kontrollbehörden”. Die an- 
gefochtenen Bestimmungen schafften 
einen beunruhigenden Präzedenzfall: 
Behörden könnten damit „mögliche 
Gegenreaktionen des Gesetzgebers 
vorwegnehmen, die darauf abzielen 
ihre Aufsichtstätigkeiten je nach poli- 
tischem Willen außer Kraft zu setzen“. 
Kontrolleure könnten so gezwungen 
werden „politische Präferenzen zu be- 
rücksichtigen”. Es wäre möglich sie 
„ungebührlichem politischen Druck” 
auszusetzen, was „ihre in der EU- 
Grundrechtecharta verankerte Unab- 
hängigkeit untergräbt“. 

Europol selbst beschreibt ihre neuen 
Kompetenzen wie folgt: Man sei nun 
in der Lage „personenbezogene Daten 
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ohne die Kategorisierung der betroffe- 
nen Person zu verarbeiten, solange und 
wann immer dies für die Unterstützung 
einer bestimmten laufenden strafrecht- 
lichen Ermittlung erforderlich ist“. 
Dies spiele vor allem für den Umgang 
mit großen und komplexen Datensät- 
zen eine wichtige Rolle, die erst kate- 
gorisiert werden könnten, „wenn die 
relevanten Informationen extrahiert 
und analysiert” worden seien (Krempl, 
EU-Datenschützer klagt gegen Euro- 
pol-Befugnis zur Massenüberwachung, 
www.heise.de 22.09.2022, Kurzlink: 
https://heise.de/-7272715). 


EU 


Bürgerrechtliche Kritik an 
Prüm-Erweiterungen 


Zivilgesellschaftliche Organisationen 
aus dem Netzwerk European Digital 
Rights (EDRi) befürchten gemäß einem 
am 07.09.2022 veröffentlichten 30-sei- 
tigen Positionspapier, dass über die 
Initiative der EU-Kommission für eine 
Verordnung „über den automatisier- 
ten Datenaustausch für die polizeiliche 
Zusammenarbeit” die Unschuldsvermu- 
tung ausgehebelt wird. Damit würde der 
Prümer Vertrag deutlich ausgebaut und 
über die Forderungen des EU-Minister- 
rats weiter verschärft. Das Vorhaben 
öffne den Weg zur Massenüberwachung 
europäischer Bürger und Einreisender. 

Der Prüm-Rahmen ermöglicht Poli- 
zeibehörden in den angeschlossenen 
Mitgliedsstaaten bereits seit Längerem 
DNA-, Fingerabdruck- und Fahrzeu- 
gregisterdaten elektronisch auszutau- 
schen und abzugleichen. Einschlägige 
nationale Datenbanken können hierü- 
ber vernetzt werden. Laut der Kommis- 
sion sollen künftig auch Fahndungsfo- 
tos oder biometrische Lichtbilder aus 
Polizeiregistern einbezogen werden, die 
eine automatisierte Gesichtserkennung 
unterstützen. 

Geht es nach dem EU-Rat, soll die 
Zahl der nutzbaren Datenkategorien 
noch mehr erweitert werden, z.B. um 
Führerscheindaten und Akten von Ver- 
dächtigen sowie von überführten Straf- 
tätern. Zudem zielt der Rat auf einen 
automatisierten EU-weiten Abgleich 
aller DNA-Profile der Polizeibehörden 


der Mitgliedsländer untereinander so- 
wie mit Europol ab. Bislang war nur ein 
manueller Abruf personenbezogener 
Informationen im Prüm-Netzwerk nach 
einem Treffer bei einer maschinellen Su- 
che möglich. 

Das Vorhaben bedroht den Bürger- 
rechtlern zufolge „nicht nur das Recht 
auf Privatsphäre und Datenschutz”. Zu- 
dem instrumentalisiere es „auch eines 
der Grundprinzipien der EU - die Frei- 
zügigkeit -, um die Notwendigkeit von 
noch mehr Polizeiarbeit zu legitimie- 
ren“. Auf Basis der Verordnung würden 
„die sensiblen Daten von bis zu 10% der 
Bevölkerung - wie DNA und Fingerab- 
drücke - in nationalen polizeilichen 
Datenbanken gesammelt”. Dazu kämen 
nun Gesichtsbilder. Jeder Mitgliedstaat 
könne diese biometrischen Daten dann 
automatisch abfragen. 

Gemäß den Verfassern hat sich seit 
über 14 Jahren der Prüm-Rahmen „als 
untauglich erwiesen“. Untersuchungen 
in Slowenien etwa hätten ergeben, dass 
Opfer und ihre Familienangehörigen 
rechtswidrig in strafrechtliche Daten- 
banken aufgenommen wurden. Andere 
Beispiele zeigten, dass Unverdächtige, 
Freigesprochene und Zeugen in vie- 
len EU-Staaten inklusive Deutschlands 
mehr oder weniger routinemäßig ohne 
Rechtsgrundlage in strafrechtliche Da- 
tenbanken integriert worden seien. Si- 
cherheitsvorkehrungen seien - soweit 
überhaupt vorhanden - uneinheitlich. 
In den nationalen Datenbanken gebe 
es „systematische Datenschutzmän- 
gel”. Zudem stamme der Prümer Vertrag 
aus einer Zeit, in der die Datenschutz- 
richtlinie für den Justiz- und Strafver- 
folgungsbereich noch nicht existierte. 
Würden die Register der Mitgliedsstaa- 
ten nun noch weiter mit supranationa- 
len Systemen verknüpft, multiplizierten 
sich die Missbrauchsrisiken. 

Angesichts der mangelnden Trans- 
parenz polizeilicher Datenbanken sei- 
en sich viele Menschen nicht bewusst, 
dass ihre Informationen „auf unlautere 
und unrechtmäßige Weise verarbeitet 
werden”. Sie könnten daher ihre Rechte 
etwa auf Widerspruch oder Korrekturen 
nicht wahrnehmen. Die Einbeziehung 
ihrer Informationen in diese Datenban- 
ken habe im schlimmsten Fall jedoch 
schwerwiegende Auswirkungen auf ihre 
Grundrechte und Freiheiten. 
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Das Vorhaben verschärfe das Problem 
einer übermäßigen polizeilichen Über- 
wachung und das Misstrauen. Es sei 
„weder notwendig noch verhältnismä- 
Rig“. Die Prüm-II-Verordnung gefährde 
die Ansprüche auf Gerechtigkeit, Fair- 
ness und Privatheit: Chris Jones, Direk- 
tor der britischen Bürgerrechtsorgani- 
sation Statewatch, die das Papier zu- 
sammen mit anderen EDRi-Mitgliedern 
wie Access Now oder der Schweizer Di- 
gitalen Gesellschaft verfasst hat, mein- 
te: „Es scheint ein Fall zu sein, in dem 
man versucht die Polizei zum Laufen zu 
bringen, wenn sie schon Probleme beim 
Gehen hat.” 

In der Studie heißt es: „Wir erleben 
die zunehmende Kriminalisierung von 
politischer Opposition, sozialen Bewe- 
gungen, Flüchtlingen und Migranten 
sowie investigativen Journalisten.” 
Wenn sich der Rat durchsetze, könnte 
die Polizei künftig „jeden als Kriminel- 
len abstempeln.” Solche autoritären 
Praktiken erlaubten es den Strafverfol- 
gern „die Privatsphäre der Menschen 
ohne ausreichenden Grund oder an- 
gemessene Schutzmaßnahmen einzu- 
schränken”. Vor allem bereits margina- 
lisierten Gruppen drohten noch mehr 
Repressalien. 

Die Bürgerrechtler empfehlen dem 
EU-Parlament, das sich zu Vorschlägen 
positionieren muss, die Erweiterung um 
Gesichtsbilder zurückzuweisen. Führer- 
scheindaten müssten von Europol und 
von Drittstaaten auf jeden Fall genau- 
so außen vor bleiben wie biometrische 
Merkmale. Nötig sei die Implementie- 
rung spezifischer restriktiver Vorschrif- 
ten für die polizeilichen Datenbanken 
der Mitgliedstaaten, bevor diese an das 
Prüm-II-System angebunden werden. 
Unidentifizierte DNA-Daten und nicht 
stichhaltige Einträge sollten gelöscht 
werden. Die Abgeordneten müssten 
auch sicherstellen, dass Suchanfragen 
nur in Einzelfällen und zur Verfolgung 
schwerer Straftaten durchgeführt wer- 
den könnten. Zuvor hatte sich der EU- 
Datenschutzbeauftragte Wojciech Wie- 
wiörowski besorgt gezeigt, dass schon 
der Kommissionsentwurf weit übers Ziel 
hinausschieße (Krempl, EU-Polizeida- 
tenabgleich: Jeder wird verdächtig, 
warnen Bürgerrechtler, www.heise.de 
11.09.2022, Kurzlink: https://heise. 
de/-7260262). 
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EU 


Internes Dokumenten- 
Authentisierungssystem 
iFado geknackt 


Unbekannte Hacker haben sich offen- 
bar Zugang zu der europäischen Daten- 
bank iFado (Intranet False and Authen- 
tic Documents Online) verschafft, auf 
die sich die Sicherheitsbehörden aller 
EU-Mitgliedsstaaten, Norwegens, Is- 
lands und der Schweiz bei der Bekämp- 
fung von irregulärer Migration und 
organisierter Kriminalität stützen. Ein 
als vertraulich eingestuftes Dokument 
des Generalsekretariats des Europäi- 
schen Rates an die Mitgliedstaaten vom 
04.07.2022 bestätigte als Nachtrag eine 
am 29.06.2022 verschickte Warnung, 
mit dem die ursprünglich bis August 
laufende Frist zum Zurücksetzen aller 
Passwörter der Nutzer drastisch ver- 
kürzt wurde: Bis 15.07.2022 mussten 
alle Benutzer ihre Passwörter zurück- 
setzen, wenn sie nicht automatisch aus- 
gesperrt werden wollten. 

Die Datenbank iFado nutzen Sicher- 
heitsbehörden der beteiligten Staaten, 
um Informationen über aktuelle Si- 
cherheitsmerkmale und Fälschungs- 
techniken für Reisepapiere, also etwa 
Ausweise und Reisepässe, aber auch 
Führerscheine und Aufenthaltstitel zu 
teilen. iFado enthält die wichtigsten In- 
formationen aus dem Fado-Datenarchiv, 
die bei der Kontrolle von Papieren etwa 
durch Polizei oder Zoll hilfreich sind. 
Besonders praktisch ist das für die eu- 
ropäische Grenzschutzagentur Frontex, 
so ein Sprecher: „Es sind Tausende von 
Dokumententypen im Umlauf. Diese alle 
zu kennen ist unmöglich.” Wenn ein 
Mitarbeiter Zweifel an der Gültigkeit ei- 
nes Dokuments habe, könne er diese mit 
iFado überprüfen. Die Datensammlung 
erleichtere insbesondere die Arbeit an 
EU-Grenzposten deutlich. In Deutsch- 
land haben neben den Polizeibehörden 
etwa auch der Zoll und Einwohnermel- 
deämter Zugriff auf das System, insge- 
samt sind es dem Bundesinnenministe- 
rium zufolge rund 1.200 Nutzende. 

Personenbezogene Daten sind in der 
Datenbank der vom EU-Parlament be- 
schlossenen Verordnung zufolge nur 
in Ausnahmefällen zu finden. Dennoch 


handelt es sich um höchst sensible In- 
formationen: Durch einen Zugriff auf 
das System sind Unbefugte, so ein Spre- 
cher des Bundesinnenministeriums, 
möglicherweise in der Lage besonders 
hochwertige Fälschungen zu erstel- 
len. Es ist daher verwunderlich, dass es 
bislang offenbar keine Möglichkeit für 
teilnehmende Behörden gab Nutzerkon- 
ten mit Multi-Faktor-Authentifizierung 
abzusichern. Ein solches Verfahren ver- 
langt von den Nutzern zusätzlich zum 
Passwort beispielsweise einen mit einer 
App generierten Einmalschlüssel. 

In seiner Warnung verweist das zu- 
ständige Generalsekretariat des Rates 
auf eine laufende Ermittlung der Cyber- 
sicherheitsbehörden der EU. Das Cyber 
Emergency Response Team der EU hatte 
die Zugangsdaten für die Plattform am 
22.06.2022 als Teil eines größeren Zu- 
gangsdatenpakets gefunden, das in kri- 
minellen Foren im Darknet zum Verkauf 
angeboten wurde. Woher die Hacker die 
Daten hatten, sei bislang unklar. Auch, 
ob die Zugänge von den Cyberkriminel- 
len aktiv ausgenutzt wurden, sei bislang 
nicht ermittelt worden, so die Warnung 
an die Mitgliedstaaten. Die drastisch 
vorgezogene Frist weist daraufhin, dass 
das Risiko deutlich höher als zunächst 
angenommen eingestuft wurde. Dass die 
Zugangsdaten in einem Paket angebo- 
ten wurden, könnte darauf hindeuten, 
dass die Hacker die Zugänge für nicht 
sonderlich wertvoll hielten. Es könnte 
aber auch sein, dass die Hacker die Zu- 
gänge bereits jahrelang genutzt hatten 
und nun auch noch zu Geld machen 
wollten. Wie die EU-Behörden den Fall 
tatsächlich einschätzen, blieb zunächst 
unklar. Weder das eigentlich zuständige 
Generalsekretariat des Rates noch die 
EU-Kommission wollten Fragen zu dem 
Sicherheitsvorfall beantworten. 

Ende März 2020 hatte das EU-Par- 
lament beschlossen, dass das Fado- 
System künftig von Frontex verwaltet 
werden soll. Damit soll die Plattform 
effizienter und sicherer betrieben wer- 
den können. So soll das System künftig 
verschiedene Zugriffsstufen für unter- 
schiedliche Personengruppen zulassen. 
Ursprünglich sollte der Umzug auf eine 
neue Plattform 2023 stattfinden, aktu- 
ell scheint die EU mit 2024 zu planen 
(Muth, EU-Datenbank für gefälsch- 
te Ausweispapiere offenbar gehackt, 
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www.sueddeutsche.de 26.07.2022 = 
EU-Datenbank offenbar gehackt, SZ 
27.07.2022, 7). 


Österreich 


KI anonymisiert auto- 
matisiert Gerichtsent- 
scheidungen 


In Österreich haben das Bundesmi- 
nisterium für Justiz (BMJ) und das Bun- 
desrechenzentrum (BRZ) ein Verfahren 
entwickelt, um Gerichtsentscheidun- 
gen automatisiert zu anonymisieren. 
Der Einsatz von sog. künstlicher Intel- 
ligenz (KI) soll die Sachbearbeiter von 
repetitivren Anwendungen entlasten 
und einer rascheren Veröffentlichung 
von Gerichtsentscheidungen dienen. 
Für die gemeinsam entwickelte KI- 
Anwendung sind BMJ und BRZ am 
10.10.2022 in Wien mit dem eAward in 
der Kategorie „Machine Learning und 
Künstliche Intelligenz” ausgezeichnet 
worden. 

Die Jury begründete ihre Entschei- 
dung damit, dass hier KI perfekt ein- 
gesetzt werde, um repetitive Aufgaben 
beschleunigt abzuwickeln, was dem in 
der Justiz beschäftigten Personal beim 
Bewältigen der Arbeit helfe. Die An- 
wendung habe „Exportqualität in viele 
andere Bereiche“. Die österreichische 
Justizministerin Alma Zadic lobte in ih- 
rer Stellungnahme zur Preisverleihung 
den Digitalisierungskurs ihres Ressorts 
und spricht davon, dass Österreich in 
dem Gebiet „eine Vorreiterrolle in Euro- 
pa“ einnehme. Die Anwendung sei ein 
Beispiel für den verantwortungsvollen 
Einsatz von KI-Technologie. 

Das BRZ stand dem BMJ bei der Um- 
setzung als technischer Partner zur Sei- 
te. Seine Aufgabe sei, „Kompetenzzent- 
rum für die Digitalisierung in der Bun- 
desverwaltung” zu sein. Die Anwendung 
zeige das große Potenzial von Künstli- 
cher Intelligenz und Machine Learning 
für den öffentlichen Sektor. Die fertige 
Anwendung soll, so der Geschäftsführer 
des BRZ, Roland Ledinger, für die Bür- 
ger einen greifbaren Mehrwert bieten. 
Das Bundesrechenzentrum war bei den 
eAwards mit mehreren Projekten für den 
Preis nominiert, so auch mit einem Pro- 
jekt zu vertrauenswürdiger RI. 
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Das Rechtsinformationssystem des 
Bundes (RIS) veröffentlicht fast aus- 
schließlich Entscheidungen des Obers- 
ten Gerichtshofs. Die ordentlichen Ge- 
richte, zu denen auch etwa Landesge- 
richte und Oberlandesgerichte zählen, 
treffen in Österreich Entscheidungen, 
die für alle Rechtssuchenden von Be- 
deutung sind. Vor einer Publikation 
sind alle personenbezogenen Daten so- 
wie Informationen, die Rückschluss auf 
die Sache und die Betroffenen zulas- 
sen, zu entfernen. Die Anonymisierung 
nimmt bei manueller Durchführung viel 
Zeit in Anspruch - mithilfe von Machine 
Learning und unter Einsatz von Klsei es 
dem BRZ gelungen den Prozess wesent- 
lich zu beschleunigen. 

Die mit dem eAward ausgezeichnete 
Anwendung ermöglicht es Personen, 
Organisationen, Orte „sowie weitere re- 
levante Metadaten zu identifizieren, 
zu extrahieren und basierend auf fes- 
ten Regeln zu anonymisieren”, unter 
Einhaltung der gesetzlichen Rahmen- 
bedingungen. Die Anwendung soll vor- 
handene Registerdaten berücksichtigen 
und enthält offenbar eine regelbasierte 
Suchfunktion. Wie das Bundesrechen- 
zentrum angibt, sind die eingesetzten 
Machine-Learning-Modelle auf Basis ma- 
nuell markierter Gerichtsentscheidun- 
gen trainiert. Sie kommen beim Erken- 
nen enthaltener Informationen zum Ein- 
satz, aber auch beim Entscheiden welche 
Textpassagen zu anonymisieren sind. Die 
technische Herausforderung besteht da- 
bei im Erkennen der unterschiedlichen 
Rollen der Personen im Text. So soll etwa 
der Name von Richterinnen und Richtern 
nicht anonymisiert werden, und auch die 
anwaltlichen Vertreter und Vertreterin- 
nen der Streitparteien sollen im Klartext 
erhalten bleiben. 

Andere EU-Länder sollen bereits An- 
fragen an die Österreichische Justiz 
und das Bundesrechenzentrum gestellt 
haben. Die Anwendung und das techni- 
sche Verfahren stoßen im europäischen 
Umfeld gemäß einem Sprecher des Bun- 
desrechenzentrums auf erhebliches In- 
teresse. Die Anfragen beziehen sich auf 
einen Know-how-Transfer, um ähnliche 
Anwendungen und Konzepte in anderen 
EU-Ländern zu implementieren. Auch 
in Österreich selbst sind dem Bundes- 
rechenzentrum zufolge weitere Einsatz- 
möglichkeiten für die Technik vorstell- 


bar. Der Bedarf sei auch außerhalb der 
ordentlichen Gerichtsbarkeit gegeben; 
seitens Verwaltungsgerichten und 
weiterer Behörden sind, so der Leiten- 
de Staatsanwalt im Justizministerium 
Mag. Christian Gesek, bereits Anfragen 
eingegangen. Ob aus Deutschland be- 
reits Anfragen eingegangen sind, geht 
aus der Meldung nicht hervor. 

Weitere Informationen lassen sich 
der Internetpräsenz des Bundesminis- 
teriums für Justiz und der Website des 
Bundesrechenzentrums entnehmen. 
Das BRZ feiert 2022 sein 25-jähriges 
Bestehen und ist gemäß seiner Websei- 
te seither mit der Entwicklung sicherer 
IT-Lösungen befasst, „um Österreichs 
Public Sector fit für die Zukunft zu ma- 
chen“. Als E-Government-Partner der 
österreichischen Verwaltung verfügt es 
über eines der größten Rechenzentren 
der Alpenrepublik (Hahn, Preis für Vor- 
reiter: Österreich anonymisiert Justiz- 
entscheidungen mit KI-Einsatz, www. 
heise.de 12.10.2022, Kurzlink: https:// 
heise.de/-7305474). 


Frankreich 


20-Mio.-Euro-Bußgeld 
gegen Clearview AI 


Die französische Datenschutz- 
behörde Commission Nationale de 
UInformatique et des Libert&es (CNIL) 
hat gegen die US-Firma Clearview AI 
wegen rechtswidriger biometrischer 
Gesichtserkennung die Höchststrafe 
auf DSGVO-Basis von 20 Mio. Euro ver- 
hängt. Zuvor hat Clearview auf eine 
Abmahnung im Jahr 2021 hin nicht 
reagiert. Die Kontrolleure ordneten 
zudem an, dass Clearview Daten über 
Personen in Frankreich nicht länger er- 
heben und verwenden darf, da es dafür 
keine Rechtsgrundlage gebe. Bereits 
gespeicherte Gesichtsbilder und zu- 
gehörige Informationen müssen laut 
dem Bescheid vom 17.10.2022 zudem 
innerhalb von zwei Monaten gelöscht 
werden. Die Aufsichtsbehörde verweist 
zur Begründung auf die „sehr ernsten 
Risiken für die Grundrechte der betrof- 
fenen Personen, die sich aus der von 
dem Unternehmen durchgeführten 
Verarbeitung ergeben”. Folgt Clearview 
der Anordnung nicht, droht der Firma 
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ein Zwangsgeld in Höhe von 100.000 
Euro für jeden Tag der Überschreitung 
der Frist. 

Die CNIL erhielt nach eigenen Anga- 
ben seit Mai 2020 Beschwerden einzel- 
ner Personen über die von Clearview 
entwickelte Gesichtserkennungssoft- 
ware. Ein Jahr später wandte sich auch 
die Bürgerrechtsorganisation Privacy 
International deswegen an sie. Bei den 
Untersuchungen arbeitete die Auf- 
sichtsinstanz nach eigenen Angaben 
mit europäischen Kollegen zusammen: 
Da das Unternehmen keinen Sitz in der 
EU hat, seien die nationalen Behörden 
für Maßnahmen in ihrem eigenen Ho- 
heitsgebiet zuständig. 

Die CNIL stellte zwei Verstöße gegen 
die DSGVO fest: Clearview verarbei- 
tet die sensiblen biometrischen Daten 
demnach unrechtmäßig, da die Firma 
dafür keine Einwilligung einhole und 
auch keine andere in Frage kommende 
rechtliche Basis vorliege. Zudem be- 
rücksichtige das Unternehmen Rechte 
der Betroffenen etwa auf Einsicht und 
zum Löschen ihrer Daten nicht zufrie- 
denstellend und effizient. Das Unter- 
nehmen extrahiere Fotos aus einer Viel- 
zahl von Webseiten, sozialen Netzwer- 
ken und Videos. Auf diese Weise habe 
es sich weltweit mittlerweile über 20 
Milliarden Bilder angeeignet. Mithilfe 
dieser Sammlung vermarkte es den Zu- 
gang zu seiner Bilddatenbank vor allem 
an Strafverfolger in Form einer App, in 
der eine Person mithilfe eines Fotos ge- 
sucht werden könne. Die Betroffenen 
rechneten realistischerweise aber nicht 
damit, dass ihre Bilder in ein Gesichts- 
erkennungssystem eingespeist werden, 
„das von Staaten für polizeiliche Zwecke 
genutzt werden kann“. 

Nach der Verfügung von November 
2021 hatte Clearview zwei Monate Zeit, 
um die Anordnung zum Stopp des Sam- 
melns und Nutzens von Daten französi- 
scher Staatsbürger zu befolgen und dies 
gegenüber der Aufsichtsbehörde nach- 
zuweisen. Das Unternehmen reagierte 
jedoch nicht. Das angekündigte Sankti- 
onsverfahren nahm so seinen Lauf. 

Während des gesamten Verfahrens 
hatte gemäß der CNIL Clearview nicht 
in angemessener Form mit ihnen zu- 
sammengearbeitet. So habe das Unter- 
nehmen das ihm zugesandte Untersu- 
chungsformular nur sehr unvollständig 
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beantwortet und die spätere förmliche 
Aufforderung völlig missachtet. Der 
Sanktionsausschuss berücksichtigte bei 
der Strafe daher auch einen Verstoß ge- 
gen die Pflicht nach der DSGVO, mit der 
Aufsicht zu kooperieren. 

In Europa verhängte auch die briti- 
sche Datenschutzbehörde ICO im Mai 
2022 eine Strafe in Höhe von rund 8,9 
Millionen Euro gegen Clearview. Ange- 
kündigt hatte sie zunächst ebenfalls 
rund 20 Millionen Euro, berücksichtigte 
dann aber doch mildernde Umstände. 
Der frühere Hamburgische Datenschutz- 
beauftragte Johannes Caspar ging 
ebenfalls bereits gegen die Firma vor. 
Kanadische Behörden haben Clearview 
untersagt den Dienst in mehreren Pro- 
vinzen weiter anzubieten. Das Unter- 
nehmen muss zudem alle Bilder und zu- 
gehörigen Daten der dortigen Einwoh- 
ner löschen. Es peilt trotzdem an seine 
Speicher mit 100 Milliarden Gesichtsfo- 
tos zu füllen (Krempl, DSGVO-Bußgeld: 
Frankreichs Datenschützer fordern 20 
Millionen Euro von Clearview, www. 
heise.de 21.10.2022, Kurzlink: https:// 
heise.de/-7315416). 


Griechenland 


Geheimdienst hörte Politi- 
ker und Journalisten ab 


Am 05.08.2022 wurde bekannt, wo- 
rüber zunächst spekuliert worden war, 
nämlich dass der griechische Geheim- 
dienst EYP den Europaabgeordneten 
und Chef der zweitgrößten Oppositi- 
onspartei Pasok, Nikos Androulakis, 
und den Finanzjournalisten Thanasis 
Koukakis monatelang abgehört hat. 
Regierungschef Kyriakos Mitsotakis, 
dem der Geheimdienst direkt unter- 
stellt ist, erklärte: „Ich wusste nichts 
davon, und natürlich hätte ich das nie 
genehmigt.” EYP-Chef Panagiotis Kon- 
toleon und der für den Geheimdienst 
zuständige Generalsekretär im Amt des 
Ministerpräsidenten, Grigoris Dimitria- 
dis, ein Neffe und langjähriger Vertrau- 
ter des Premiers, mussten umgehend 
ihre Ämter aufgeben. Premierminister 
Mitsotakis meinte, das Ganze sei ein 
Fehler gewesen, „legal“ zwar, weil von 
einem Staatsanwalt angeordnet, aber 
„politisch inakzeptabel”. Er gab sich 


in seiner Öffentlichen Ansprache zum 
Skandal zerknirscht und kündigte Re- 
formen an, die den Geheimdienst stär- 
kerer Kontrolle und Transparenz unter- 
werfen sollen. 

Selbst regierungsfreundliche Zeitun- 
gen schrieben von „der ernstesten Re- 
gierungskrise” seit Mitsotakis’ Amtsan- 
tritt vor drei Jahren. Die linksgerichtete 
Oppositionspartei Syriza sprach von 
einem „griechischen Watergate”, für 
das Mitsotakis die Verantwortung trage 
und forderte deshalb den Rücktritt des 
Premiers. Syriza-Chef Alexis Tsipras ver- 
wies darauf, dass Mitsotakis gleich nach 
seinem Amtsantritt im Sommer 2019 
mit einer Gesetzesänderung den Ge- 
heimdienst sich selbst direkt unterstellt 
hatte. Tsipras fordert nun Auskunft da- 
rüber, welche weiteren Politiker und 
Journalisten bespitzelt werden. 

Der Europaabgeordnete Androula- 
kis hatte von einem Sicherheitsdienst 
des Europäischen Parlaments erfah- 
ren, dass es Versuche gegeben habe 
sein Smartphone mit einer Spionage- 
Software namens Predator zu infizie- 
ren, die unter anderem Passwörter und 
den Browser-Verlauf ausspähen kann 
sowie Zugriff auf Kamera und Mikro- 
fon ermöglicht. Am 04.08.2022 war Ge- 
heimdienstchef Kontoleon zur Bericht- 
erstattung ins Amt des Ministerpräsi- 
denten einbestellt worden. Dort soll 
er erklärt haben, Androulakis sei auf 
Wunsch der Geheimdienste der Ukraine 
und Armeniens abgehört worden. Die 
ausländischen Dienste hätten sich für 
Androulakis’ Rolle in einem Ausschuss 
des Europäischen Parlaments, der sich 
mit den EU-Handelsziehungen zu China 
befasste, interessiert. Die Botschaften 
der Ukraine und Armeniens in Athen 
dementierten die Meldungen vehe- 
ment. Den Abhörantrag genehmigte 
im September 2021 die zuständige 
Staatsanwältin Vasiliki Vlachou. Meh- 
rere Regierungsvertreter hatten An- 
droulakis persönliche Gespräche über 
die Vorgänge angeboten; dies lehnte er 
ab und forderte stattdessen, es müsse 
alles öffentlich gemacht werden, etwa 
über einen parlamentarischen Unter- 
suchungsausschuss. 

Unklar blieb, warum und auf wessen 
Initiative der Finanzjournalist Kouka- 
kis abgehört wurde. Die Organisation 
United Reporters berichtet von einem 
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Dokument, aus dem hervorgehen soll, 
der Geheimdienst EYP habe Koukakis 
„aus Gründen der nationalen Sicher- 
heit” belauscht. Seine Bespitzelung 
könnte damit zu tun haben, dass er 
Korruptionsfälle in Politik und Wirt- 
schaft sowie angebliche Fälle von Geld- 
wäsche im Bankenwesen recherchierte. 
Sein Handy war am 21.07.2021 mit der 
Spionagesoftware Predator infiziert 
worden. Die Regierung bestritt damals 
jede Beteiligung. 

Koukakis beantragte bei der zu- 
ständigen Aufsichtsbehörde ADAE 
Auskunft, ob er abgehört werde. Noch 
während er auf eine Antwort wartete, 
brachte die Regierung eine Gesetzes- 
änderung durchs Parlament, die es der 
Behörde untersagt Betroffenen Aus- 
kunft über Abhörpraktiken zu geben. 
Die griechische Regierung bestritt öf- 
fentlich Predator angeschafft zu haben. 

Die Vorwürfe, Athen schränke die 
freie Berichterstattung im Land mas- 
siv ein, verstärken sich. Im April 2022 
äußerten das Internationale Presse- 
Institut (IPI) und weitere der Presse- 
freiheit verpflichtete Organisationen 
in einem Brief an Ministerpräsident 
Mitsotakis „ernste Besorgnisse” we- 
gen der Bespitzelung von Journalis- 
ten in Griechenland. In der jährlichen 
Weltrangliste der Pressefreiheit der 
Organisation Reporter ohne Grenzen 
ist Griechenland inzwischen auf Rang 
108 von 180 abgerutscht. Kein Land 
der Europäischen Union steht weiter 
unten auf der Liste. 

Die griechische Staatspräsidentin 
Katerina Sakellaropoulou, eine hoch 
angesehene Juristin, schaltete sich 
auch in die Debatte ein. Das Recht auf 
Privatsphäre sei ein Fundament einer 
demokratischen und liberalen Gesell- 
schaft, sagte sie und forderte eine „so- 
fortige und vollständige Aufklärung” 
der Abhör-Affäre. Eine Sprecherin der 
EU-Kommission erklärte mit Blick auf 
die Vorgänge in Griechenland, die Mit- 
gliedsstaaten müssten „ihre Sicher- 
heitsdienste kontrollieren und sicher- 
stellen, dass sie die Grundrechte voll- 
umfänglich respektieren“ (Höhler, Eine 
Abhöraffäre bringt den griechischen 
Premier Mitsotakis in Bedrängnis, 
www.handelsblatt.comn 07.08.2022; 
Zick, Spitzelaffäre setzt Mitsotakis zu, 
SZ 13.-15.08.2022, 9). 
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EU/Irland 


Hohes Bußgeld gegen Meta 
wegen Instagram 


Die irische Datenschutzbehörde DPC 
fordert vom US-amerikanischen Kon- 
zern Meta wegen Datenschutzverstö- 
ßen seiner Tochterfirma Instagram mit 
Bescheid vom 02.09.2022 ein Bußgeld 
in Höhe von 405 Millionen Euro. Die 
DPC hatte eine erste Überprüfung der 
Vorwürfe gegen das soziale Netzwerk 
Instagram im September 2020 gestar- 
tet. Dabei geht es um die Verarbeitung 
von Daten Minderjähriger. Im Dezem- 
ber 2021 leitete die Behörde dann ein 
formelles Verfahren nach Artikel 60 
DSGVO ein. 

Instagram wird vorgeworfen jugend- 
lichen Nutzern im Alter von 13 bis 17 
Jahren erlaubt zu haben Geschäftskon- 
ten auf der Plattform einzurichten. Die 
Jugendlichen seien auf solche Konten 
gewechselt, um mehr Daten zu Inter- 
aktionen ihrer Beiträge einsehen zu 
können. Zuvor habe Instagram diese 
Funktionen bei Privatkonten in einigen 
Ländern deaktiviert. Durch den Wechsel 
auf Geschäftskonten seien die Kontakt- 
informationen der Jugendlichen öffent- 
lich zugänglich gewesen. 

Meta erklärte, dass inzwischen alle 
Nutzer unter 18 Jahren ihr Konto au- 
tomatisch auf „privat“ gestellt haben, 
wenn sie sich bei Instagram anmelde- 
ten. Dadurch könnten auch Erwachse- 
ne keine Nachrichten an Jugendliche 
schicken, die ihnen nicht folgten. Das 
Unternehmen teilte zudem mit, dass 
„wir nicht damit einverstanden sind, 
wie diese Geldstrafe berechnet wurde 
und beabsichtigen dagegen Berufung 
einzulegen”. 

Die Geldbuße gegen Instagram ist 
eine der höchsten, die bislang auf Ba- 
sis der DSGVO verhängt wurden. Sie 
übertrifft die Summe von 225 Millionen 
Euro, die Whatsapp zahlen sollte (DANA 
4/2021, 253). Die Luxemburger Daten- 
schutzbehörde CNPD verhängte gegen 
den Versandhändler Amazon eine Strafe 
in Höhe von 746 Millionen Euro (DANA 
4/2021, 252), gegen die das Unterneh- 
men bereits erfolgreich Widerspruch 
einlegte (Greis, Instagram soll 405 Milli- 
onen Euro Bußgeld zahlen, www.golem. 
de 06.09.2022). 


Großbritannien 


Straffällige Asylsuchende 
werden mit GPS und Biome- 
trie überwacht 


Migranten, die wegen einer Straftat 
verurteilt wurden, sollen nach Plänen 
der britischen Ministerien für Inneres 
und Justiz mit einer Smartwatch mit bio- 
metrischer Gesichtserkennung und GPS- 
Tracking überwacht werden. Das Ver- 
fahren ersetzt elektronische Fußfesseln, 
indem es per GPS Standortdaten erfasst 
und die Betroffenen zusätzlich mithilfe 
der automatisierten Biometrie kontrol- 
liert. Bis zu fünf Mal am Tag soll ein Ge- 
sichtsscan durchgeführt werden. Im Mai 
2022 beauftragte die britische Regierung 
gemäß einem auf Dokumenten basieren- 
den Pressebericht die Technologiefirma 
Buddi mit der Lieferung von „nicht fest 
montierten Geräten“ zur Überwachung 
„bestimmter Personengruppen” im Rah- 
men des Satellitenverfolgungsdienstes 
des Innenministeriums. Das System soll 
dann im Herbst in ganz Großbritanni- 
en eingeführt werden und zunächst ca. 
6 Mio. britische Pfund kosten. 

Der Vertrag mit dem Lieferanten, der 
bislang vor allem für den Vertrieb von 
Smartwatches mit Hausnotruffunktion 
bekannt ist, wurde vom Justizressort 
veröffentlicht. In den Unterlagen findet 
sich kein Hinweis darauf, ob die Regie- 
rung Risikobewertungen durchführen 
ließ, die abwägen, ob es angemessen 
ist straffällige Asylbewerber mit den 
vorgesehenen Mitteln zu überwachen. 
Gemäß einem Papier vom August 2021, 
das die Datenschutzorganisation Priva- 
cy International (PI) auf Basis des bri- 
tischen Informationsfreiheitsgesetzes 
erlangt hat, führte das Innenministeri- 
um Datenschutz-Folgenabschätzungen 
für die Technik allgemein durch, bevor 
die Wahl auf einen konkreten Anbieter 
fällt. Das System soll gemäß den Doku- 
menten eine „tägliche Überwachung 
von Personen” ermöglichen, „die einer 
Einwanderungskontrolle unterliegen”. 
Voraussetzung ist demnach die Aufla- 
ge jederzeit eine Fußfessel oder eine 
Smartwatch tragen zu müssen. Das 
Innenressort beteuert, dass nur verur- 
teilte Straftäter erfasst würden, nicht 
Asylbewerber generell. 
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Zusammen mit den Gesichtsfotos sol- 
len den Unterlagen zufolge Informa- 
tionen wie Name, Geburtsdatum und 
Nationalität bis zu sechs Jahre lang ge- 
speichert werden. Dazu kommen plan- 
mäßig Bewegungsprofile: Die Standorte 
der Verpflichteten sollen „rund um die 
Uhr verfolgt” werden, „sodass Daten zur 
Überwachung von Wegen aufgezeichnet 
werden können”. Diemit den vernetzten 
Uhren aufgenommenen Fotos würden 
dann mit den biometrischen Gesichts- 
bildern in einschlägigen Datenbanken 
des Innenministeriums abgeglichen. 
Schlage die automatisierte Bildüberprü- 
fung fehl, müsse eine händische Kont- 
rolle durchgeführt werden. Die Daten 
sollen mit den beiden beteiligten Minis- 
terien und der Polizei geteilt werden, 
wobei letzteres prinzipiell keinen neuen 
Ansatz darstelle. Auch von Ausgangs- 
sperren und Verbotszonen ist die Rede. 

In einem Bericht des Rechnungshofs 
vom Juni 2022 erklärte die Regierung, 
dass sie „die elektronische Überwachung 
als kosteneffiziente Alternative zur In- 
haftierung ansieht“. Die Maßnahme 
trage zu „den Zielen des Schutzes der 
Öffentlichkeit und der Verringerung der 
Rückfälligkeit bei”. Den Kassenprüfern 
zufolge war zunächst geplant die Smart- 
watches von der Firma G4S zu beziehen, 
die auch für die elektronischen Fußfes- 
seln zuständig ist. Das Justizministeri- 
um hatte bei diesen Geräten aber Schwä- 
chen bei der Cybersicherheit moniert. 

PI-Aktivisten warnten in einer Einga- 
be an die Regierung im Mai 2022: „Die 
grundlegenden Veränderungen, die sich 
durch die Einführung von GPS-Geräten 
ergeben haben, können gar nicht hoch 
genug eingeschätzt werden. Sie ermög- 
lichen die Überwachung des Standorts 
einer Person rund um die Uhr sowie die 
Live-Verfolgung”. Diesbedeute, dass sich 
die Bewegungen einer Person in Echtzeit 
verfolgen ließen. Der geplante Ansatz 
gehe über die bloße elektronische Über- 
wachung von Kautionsverletzungen im 
gesetzlich zulässigen Rahmen weit hin- 
aus. Die Batterielaufzeit der Fußfesseln 
sei zudem mangelhaft. 

Privacy International hat eine Kampa- 
gne gestartet, um das GPS-Tracking von 
Menschen mit Migrationshintergrund zu 
stoppen. Dazu die PI-Rechtsexpertin Lu- 
cie Audibert: „Gesichtserkennung ist be- 
kanntermaßen eine unvollkommene und 
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gefährliche Technologie, die dazu neigt 
farbige Menschen und Randgruppen zu 
diskriminieren.” Die eingesetzten Algo- 
rithmen seien höchst fehleranfällig. Kein 
anderes Land in Europa setze „diese ent- 
menschlichende” und tief in die Grund- 
rechte einschneidende Technik gegen 
Migranten ein. Die Londoner Strafrecht- 
lerin Monish Bhatia warnte, dass derart 
elektronisch Überwachte teils „Sympto- 
me von Angstzuständen, Depressionen, 
Selbstmordgedanken” entwickelten. 
Ihre psychische Gesundheit könne sich 
allgemein verschlechtern (Krempl, Ge- 
sichtserkennung: London will straffällige 
Migranten per Smartwatch überwachen, 
www.heise.de 06.08.2022, Kurzlink: 
https://heise.de/-7205172). 


Ukraine 


Schwarze Liste und 
Meinungsfreiheit 


Die „Emma”-Herausgeberin Alice 
Schwarzer und der SPD-Fraktionsvor- 
sitzende im Deutschen Bundestag Rolf 
Mützenich wurden Ende Juli 2022 von 
der ukrainischen Regierung auf eine 
internationale Schwarze Liste mit 75 
Personen gesetzt, die „Erzählungen för- 
dern, die mit derrussischen Propaganda 
übereinstimmen”. Die ukrainische Bot- 
schaft in Berlin bestätigte die Echtheit 
der Liste. Neben den beiden prominen- 
testen Mitgliedern finden sich dort auch 
der Politikwissenschaftler Prof. Johan- 
nes Varwick und die EAP-Sektenführe- 
rin, Antisemitin und Rechtsextremistin 
Helga Zepp-Larouche. Das „Zentrum 
zur Bekämpfung von Desinformation” 
beim Nationalen Sicherheitsrat der Uk- 
raine erklärte, „das Zentrum prüfe sehr 
sorgfältig, wer die Kriterien erfülle, um 
auf diese Liste zu gelangen” (Appel, 
https://extradienst.net/2022/07/30/ 
gedankenfreiheit-im-krieg/). 


USA 


Kindesmissbrauchsbe- 
kämpfung behindert ärzt- 
liche Kinderbehandlung 


Während in der Europäischen Union 
lautstark über Pläne für eine Chatkon- 


trolle zum Kampf gegen Kindesmiss- 
brauch diskutiert wird (DANA 2/2022, 
100 £.; s.o. S. 252), zeigen zwei Fälle 
aus den USA, welche unvorhergesehe- 
nen Konsequenzen solche Verfahren 
haben können. Gemäß einem Medien- 
bericht haben besorgte Eltern Fotos des 
Genitalbereichs ihres Kindes an Ärzte 
geschickt und daraufhin den Zugang 
zu allen genutzten Google-Diensten 
verloren. Obwohl die Strafverfolgungs- 
behörden in beiden Fällen die Ermitt- 
lungen eingestellt hätten, blieben die 
Google-Dienste für beide gesperrt. Einer 
der Väter erwartet nichts mehr von dem 
IT-Konzern, sondern hofft, dass er die 
gespeicherten Daten zumindest von der 
Polizei zurückbekommen kann. 

In beiden Fällen ging es um Fotos, die 
auf eine ärztliche Anfrage hin gemacht 
und versendet wurden. Dabei sei es, so 
der Bericht, darum gegangen, schon vor 
dem Besuch beim Arzt einen Eindruck 
von Erkrankungen im Genitalbereich 
der kleinen Jungen zu erhalten. Auf den 
Android-Smartphones, bei denen die ge- 
machten Fotos automatisch mit Google 
synchronisiert und in die Cloud geladen 
wurden, führte spezielle Software von 
Google nicht nur einen Abgleich mit 
bekannten Darstellungen von Kindes- 
missbrauch durch, sondern suchte auto- 
matisch nach neuen und gab dann eine 
Warnung aus. Daraufhin sei es zu einer 
ausführlicheren Analyse, Mitteilungen 
an Strafverfolger und die Sperrung aller 
genutzten Dienste gekommen. 

In einem Fallverlor der Vater nicht nur 
den Zugriffauf seinen Mail-Account und 
sein komplettes Adressbuch, sondern 
auch alle Fotos, mit denen er das erste 
Lebensjahr seines Sohnes dokumentiert 
hatte. Weil er auch seinen Handyver- 
trag über Google abgeschlossen hatte, 
musste er sich nicht nur einen neuen 
zulegen. Ohne den Zugang zu seiner al- 
ten Handynummer konnte er sich auch 
nicht mehr in andere Internetdienste 
einloggen. Alles in allem wurde er, so 
der Bericht, von einem Großteil seines 
digitalen Lebens ausgesperrt. Der zwei- 
te Vater sei gerade dabei gewesen, ein 
Haus zu kaufen. Als sein Gmail-Account 
gesperrt worden sei, habe das zu Proble- 
men mit dem Makler geführt. 

Angesichts dessen erneuerte Jon Cal- 
las von der Bürgerrechtsorganisation 
Electronic Frontier Foundation deren 
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Kritik an der automatischen Durch- 
leuchtung privater Daten: „Das ist ge- 
nau das Albtraum-Szenario, vor dem wir 
uns alle Sorgen machen.” Zwar wurde 
bei beiden Vätern nach Ermittlungen 
von der Polizei bestätigt, dass es keine 
Vorwürfe gegen sie gibt, aber den Zu- 
griff auf ihre Google-Accounts haben 
sie nicht wieder. Auch auf Nachfrage 
habe der Konzern bestätigt, dass man 
dabei bleibe. Eine Jura-Professorin, die 
sich mit der Materie beschäftigt, speku- 
lierte, dass es aus der Perspektive des 
Konzerns einfacher sei so zu verfahren 
als selbst entscheiden zu müssen, was 
akzeptabel sei und was nicht. Einer der 
betroffenen Väter benutzt nun einen 
E-Mail-Account von Hotmail, wofür er 
von Leuten verspottet werde (Holland, 
Missbrauchsverdacht: Intime Fotos vom 
Kind für den Arzt-Google-Dienste ge- 
sperrt, www.heise.de 22.08.2022, Kurz- 
link: https://heise.de/-7238900). 


USA 


Twitter-Mitarbeiter von 
Geheimdiensten fremder 
Staaten 


Peiter Zatko, der ehemalige Sicher- 
heitschef des US-Konzerns Twitter, be- 
hauptete bei einer Anhörung vor dem 
Justizausschuss des US-Senats, dass die 
dortigen Sicherheitsmängel so schwer- 
wiegend sind, dass sie eine Gefahr für 
die Nationale Sicherheit der USA und 
mutmaßlich auch anderer Staaten dar- 
stellen. Während seiner Zeit bei Twitter 
habe die US-Bundespolizei das Unter- 
nehmen informiert, dass dort mindes- 
tens ein Mitarbeiter des chinesischen 
Ministeriums für Staatssicherheit ange- 
stellt sei. In einem Gespräch über solch 
einen möglichen Agenten habe er von 
einer Führungsperson bei Twitter ge- 
hört: „wenn wir schon einen haben, was 
macht es aus, wenn es mehr sind.” 

Zatko hatte Twitter Anfang 2022 ver- 
lassen und im Sommer eine Whistleblo- 
wer-Beschwerde gegen seinen ehema- 
ligen Arbeitgeber bei verschiedenen 
US-Institutionen eingereicht. Vor den 
US-Abgeordneten sagte er nun, dass er 
bei seinem Einstieg festgestellt habe, 
dass das Unternehmen 10 Jahre über- 
fällige kritische Sicherheitslücken an- 
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gesammelt habe. Bei deren Abarbeitung 
seien keine nennenswerten Fortschritte 
erzielt worden: „Das war eine tickende 
Zeitbombe.” Er habe das wiederholt der 
Führungsebene des Unternehmens mit- 
geteilt und erst nachdem seine Warnun- 
gen unbeachtet geblieben seien, habe 
er sich an die Behörden gewandt. 

Weil Ingenieure und Ingenieurinnen 
bei Twitter nicht in Testumgebungen 
arbeiteten, sondern an Twitter selbst, 
hätten ausländische Geheimdienst- 
ler Zugang zu allen Daten. Angesichts 
dessen sowie der Zustände bei dem 
Unternehmen insgesamt mache ein Ge- 
heimdienst, der das nicht ausnutze und 
niemanden dort platziere, „höchstwahr- 
scheinlich seinen Job nicht richtig”. Vor 
seiner Behauptung, dass Twitter von 
einem chinesischen Agenten gewusst 
habe, hatte Zatko bereits behauptet, 
dass Indien den Konzern dazu verpflich- 
tet habe einen Agenten anzustellen. 
Auch Spione Saudi-Arabiens waren be- 
reits bei Twitter entdeckt worden. 

Vor der Anhörung hatten die beiden 
Vorsitzenden des Justizausschusses an 
Twitter-Chef Parag Agrawal geschrieben 
und von „schweren Bedenken” gespro- 
chen, die die Anschuldigungen auslösen 
würden. Twitter spiele eine bedeutende 
Rolle in der Kommunikation der Verei- 
nigten Staaten und sei weltweit wichtig. 
Von Agrawal wollen sie angesichts der 
jüngsten Enthüllungen wissen, was sein 
Unternehmen unternehme, um Daten 
vor Geheimdiensten zu schützen, die 
Twitter infiltriert hätten. Außerdem soll 
er erläutern, wie Nutzerdaten vor unbe- 
fugten Zugriffen insgesamt geschützt 
würden. Mit Charles Grassley meinte der 
führende Republikaner in dem Gremi- 
um, dass er sich nicht vorstellen könne, 
dass Agrawal angesichts der Vorwürfe 
seinen Posten behalten kann. 

Zatko (Aliasname „Mudge“) erklärte 
zudem, dass Twitter den Aufsichtsrat 
und die Investoren in die Irre geführt 
habe. Der laxe Umgang mit den Nut- 
zerdaten stelle eine reale Gefahr für 
Millionen Amerikaner und Amerikane- 
rinnen dar, sowie für die Demokratie 
in den USA. Seine Aussagen haben an- 
gesichts der Auseinandersetzung um 
die Übernahmepläne von Twitter durch 
Elon Musk besondere Brisanz. Der Chef 
von Tesla und SpaceX weigerte sich, 
die Kaufvereinbarung wegen angebli- 


cher Falschangaben und Vertragsbrü- 
che des Unternehmens einzuhalten. 
Die Äußerungen Zatkos erfolgten am 
13.09.2022 und damit am gleichen 
Tag, an dem die Aktionäre Twitters die 
geplante Übernahme durch Elon Musk 
genehmigten (Holland, Twitter-Whist- 
leblower: Auch China und Indien haben 
Agenten eingeschleust, www.heise. 
de 14.09.2022, Kurzlink: https:// 
heise.de/-7263041). 


USA 


FTC geht wegen Auswertung 
von Standortdaten vor 


Die US-Wettbewerbs- und Verbrau- 
cherschutzbehörde Federal Trade Com- 
mission (FTC) verklagt den Datenbroker 
Kochava, weil er sensible Standortdaten 
verkauft haben soll, mit denen bestimm- 
te Abtreibungswillige, religiöse Gläu- 
bige oder andere Personen identifiziert 
werden können, die möglicherweise von 
Diskriminierung, Einschüchterung oder 
sogar Gewalt bedroht sind. 

In der am 29.08.2022 eingereichten 
Klage wird dem App-Analyseunter- 
nehmen Kochava vorgeworfen bei den 
Standortdaten, die zum großen Teil 
ohne Wissen der Besitzer von Handys 
gesammelt werden, grundlegende Da- 
tenschutzbestimmungen nicht einge- 
halten zu haben, so die FTC: „Die Daten 
von Kochava können Aufschluss über 
die Besuche von Menschen in Kliniken 
für reproduktive Gesundheit, Gottes- 
häusern, Obdachlosenheimen, Einrich- 
tungen für häusliche Gewalt und Sucht- 
krankenhäusern geben. Durch den 
Verkauf von Tracking-Daten ermöglicht 
es Kochava anderen Personen zu identi- 
fizieren und sie der Gefahr von Stigma- 
tisierung, Stalking, Diskriminierung, 
Arbeitsplatzverlust und sogar physi- 
scher Gewalt auszusetzen.” Kochava 
wird von der FTC aufgefordert den Ver- 
kauf sensibler Daten einzustellen und 
alle gesammelten Informationen zu lö- 
schen. Kochava ist ein Unternehmen für 
Marketingdaten, das große Marken wie 
Disney, McDonald’s und Hilton zu seinen 
Kunden zählt. 

Die Klage folgt auf eine Zusage der 
FTC gegen die Weitergabe von medizi- 
nischen Standortdaten vorzugehen. 
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Das ist ein weit verbreitetes Problem, 
das in der Abtreibungsdebatte in den 
USA besonders brisant geworden ist. 
Nach der Entscheidung des Obersten 
Gerichtshofs, der in diesem Jahr das 
Recht auf Abtreibung auf Bundesebene 
aufhob, hat die FTC signalisiert, dass 
sie sich zunehmend auf den Schutz 
gesundheitsbezogener Daten konzent- 
rieren wird. Abtreibungsgegner in den 
USA sammeln bereits Daten vor Klini- 
ken für die Strafverfolgung. So werden 
Körperkameras und Nummernschild- 
verfolgung eingesetzt, um Menschen 
nachzuspüren, die zu Abtreibungskli- 
niken kommen (DANA 3/2022, 194 ff.). 
US-Bürgerrechtsorganisationen sor- 
gen sich nach dem Urteil zur Abtrei- 
bung um den Datenschutz. Sie warnen 
davor, dass neue bundesstaatliche 
Gesetze in den USA, die Abtreibungen 
einschränken, dazu führen könnten, 
dass die Standortdaten von Abtrei- 
bungswilligen als Beweis für Fehlver- 
halten gegen sie verwendet werden. So 
wächst die Sorge, dass der digitale Fin- 
gerabdruck einer Person - einschließ- 
lich besuchter Websites, Standortdaten 
eines Telefons oder privater Nachrich- 
ten auf einer sozialen Plattform - künf- 
tig verwendet werden könnte, um ein 
Strafverfahren gegen jemanden zu füh- 
ren, der eine Abtreibung durchgeführt 
hat. Die Tech-Branche schweigt zur Da- 
tenschutzproblematik weitestgehend. 
Auf Druck der demokratischen Se- 
natorin Elizabeth Warren und anderen 
verpflichteten sich die Datenbroker 
SafeGraph und Placer.ai Geolokali- 
sierungsdaten in der Umgebung von 
Kliniken für reproduktive Gesundheit 
nicht mehr zu verkaufen. Google er- 
klärte kürzlich, dass es Standortdaten 
nach Besuch von Abtreibungskliniken 
löschen wird. Der FTC zufolge waren die 
Daten von Kochava nicht anonymisiert, 
so dass es durch die Kombination der 
Standortdaten mit Daten aus anderen 
Quellen möglich war die tatsächliche 
Identität einer Person anhand der von 
Kochava angebotenen Informationen 
zu ermitteln. Bei der Untersuchung, 
die zu der Klage führte, analysierte die 
FTC nach eigenen Angaben eine Stich- 
probe von Kochava, die mehr als 60 Mil- 
lionen einzelne Mobilgeräte innerhalb 
einer einzigen Woche umfasste. Die 
Daten von Kochava enthalten demnach 


DANA ® Datenschutz Nachrichten 4/2022 


genaue, mit einem Zeitstempel verse- 
hene Breiten- und Längengradinfor- 
mationen für einzelne Verbraucher, 
heißt es in der Klage. 

Dieser zufolge konnte die FTC an- 
hand einer kostenlosen Kochava-Da- 
tenstichprobe ein mobiles Gerät identi- 
fizieren, das eine Klinik für reprodukti- 
ve Gesundheit von Frauen besucht hat, 
und es dann mit einer Privatadresse in 
Verbindung bringen, die wahrschein- 
lich die Identität des Nutzers oder der 
Nutzerin preisgeben würde. Die FTC 
fordert Kochava auf Sicherheitsvorkeh- 
rungen an sensiblen Orten zu treffen, 
was zu „vernünftigen“ Kosten möglich 
wäre (Knobloch, US-Wettbewerbshüter 
verklagen Datenmakler wegen Tracking 
von Klinikbesuchern, www.heise.de 
29.08.2022, Kurzlink: https://heise. 
de/-7247692). 


USA 


Digitale Kfz-Kennzeichen 
in Kalifornien 


Ende September 2022 unterzeichne- 
te der Gouverneur von Kalifornien, Ga- 
vin Newsom, eine Gesetzesvorlage, die 
digitale Nummernschilder, die neben 
dem Kennzeichen auch andere Informa- 
tionen anzeigen können, für alle Fahr- 
zeuge in dem US-Bundesstaat erlaubt. 
Damit werden die E-Ink-Kennzeichen 
zu einer legalen Alternative zum her- 
kömmlichen Metallschild. Dem Gesetz 
war ein erfolgreiches Pilotprogramm 
aus dem Jahr 2018 vorausgegangen. 
Das überarbeitete Gesetz, so die kalifor- 
nische Abgeordnete Lori Wilson, dieden 
Gesetzentwurf mitverfasst hat, „schafft 
dasnotwendige Gleichgewicht zwischen 
Innovation und Datenschutz und digi- 
talisiert gleichzeitig das Einzige, was an 
unseren Autos heute noch veraltet ist: 
die Nummernschilder”. 

Bisher gibt es mit Reviver nur ei- 
nen einzigen zugelassenen Hersteller 
von digitalen Nummernschildern. Das 
Produkt des Unternehmens mit dem 
Namen RPlate verwendet einen mono- 
chromen E-Ink-Bildschirm, der durch 
eine Linse oder Abdeckung geschützt 
ist, die laut Reviver „sechsmal stärker 
als Glas” ist. Das Schild verfügt außer- 
dem über Bluetooth Low Energy und 


LTE „für stromsparendes IoT” und wird 
von einer mehrere Jahre haltbaren 
Batterie betrieben. Das RPlate zeigt 
das Nummernschild des Fahrzeugs an, 
kann aber über eine Smartphone-App 
auch andere Meldungen anzeigen, z.B. 
dass das Fahrzeug gestohlen wurde. 

Das von Ars Technica im Rahmen des 
Pilotprojekts getestete digitale RPlate- 
Kennzeichen kostet, so deren Bericht, 
700 US-Dollar plus einer Servicegebühr 
von 7 US-Dollar pro Monat. Künftig 
werde es ein Abonnementmodell ge- 
ben, das für ein Privatfahrzeug 19,95 
US-Dollar pro Monat für 48 Monate 
oder 215,40 US-Dollar pro Jahr für vier 
Jahre kostet. Es gibt auch eine kabel- 
gebundene Version für Flottenkunden 
und Nutzfahrzeuge, bei der Bluetooth 
und die Batterie wegfallen, dafür aber 
GPS und Hintergrundbeleuchtung hin- 
zukommen. Sie ist mit 24,95 US-Dollar 
monatlich für 48 Monate oder 275,40 
US-Dollar jährlich für vier Jahre etwas 
teurer. 

Wegen möglicher Auswirkungen auf 
die Privatsphäre verbietet das kalifor- 
nische Gesetz generell die Ausstattung 
eines digitalen Kennzeichens mit GPS; 
Flotten und Nutzfahrzeuge sind von 
dieser Anforderung allerdings ausge- 
nommen. Das Verändern, Fälschen, 
Nachahmen oder sonstige Hacken von 
Nummernschildern macht das neue Ge- 
setz zu einer Straftat. 

Arbeitgeber dürfen digitale Num- 
mernschilder nicht verwenden, um 
ihre Angestellten zu verfolgen oder zu 
überwachen. Doch, so Ars Technica, 
„der Gesetzentwurf erlaubt es einem 
Arbeitgeber, ein alternatives Gerät zu 
verwenden, um einen Angestellten 
während der Arbeitszeit zu orten, zu 
verfolgen, zu beobachten, abzuhören 
oder anderweitig zuüberwachen, wenn 
dies für die Erfüllung der Pflichten des 
Angestellten unbedingt erforderlich 
ist”. Flotten, die sich frühzeitig für di- 
gitale Nummernschilder entscheiden, 
würden mit ziemlicher Sicherheit eine 
Flottenmanagementplattform verwen- 
den, die bereits das Verhalten und den 
Standort ihrer Fahrer während der Ar- 
beit überwacht (Knobloch, Kaliforni- 
en: Digitale Nummernschilder für alle 
Fahrzeuge zugelassen, www.heise.de 
13.10.2022. Kurzlink: https://heise. 
de/-7308209). 
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Mexiko 


Pegasus gegen Menschen- 
rechtler 


In derlaufenden Amtszeit deslinken 
Präsidenten von Mexiko, Andres Ma- 
nuel Löpez Obrador (2019-2021), wur- 
de von der Armee offenbar die israeli- 
sche Spionagesoftware Pegasus gegen 
Journalisten, Menschenrechtsakti- 
visten und zivile Organisationen ein- 
gesetzt. Diese haben am 03.10.2022 
angekündigt Strafanzeige gegen das 
mexikanische Verteidigungsministe- 
rium (Sedena) zu stellen. Ein Tag zu- 
vor wurde der Fall in einem Investiga- 
tivartikel enthüllt. 

Der von dem Onlineportal Animal 
Politico, der Zeitschrift Proceso, dem 
Nachrichtenportal Aristegui Noticias 
und dem Netzwerk zur Verteidigung 
digitaler Rechte (Red en Defensa de 
los Derechos Digitales - R3D) veröffent- 
lichte Bericht beschreibt, wie die me- 
xikanische Armee die Pegasus-Spyware 
der israelischen Firma NSO Group im 
Jahr 2019 gekauft hat, um Aktivisten 
und Journalisten auszuspionieren. 
Schon die Vorgängerregierung von 
Enrique Pefia Nieto (2012-2018) hat- 
te dem Bericht zufolge mit Hilfe von 
Pegasus Journalisten und Menschen- 
rechtsaktivisten ausspioniert. 

Mindestens ein Aktivist und zwei 
Journalisten haben auf ihren Telefo- 
nen Beweise für die Überwachung ihrer 
persönlichen Daten durch die Streit- 
kräfte gefunden. Dabei wurden Infor- 
mationen über Textnachrichten, Anru- 
fe, E-Mails, Messaging-Anwendungen, 
Kontaktbücher, Notizen, Fotos und alle 
auf den Geräten gespeicherten Datei- 
en mit der Software ausspioniert. Die 
Mobiltelefone der Opfer können voll- 
ständig überwacht werden, da die Soft- 
ware Zugriff auf alle Informationen des 
Geräts ermöglicht, auch auf die ver- 
schlüsselten. Gemäß der Untersuchung 
hat Sedena im Juni 2019, also mehr als 
sechs Monate nach dem Amtsantritt 
von Löpez Obrador, das Unternehmen 
Comercializadora Antsua unter Vertrag 
genommen, die mexikanische Vertre- 
tung der israelischen NSO Group, die 
die Pegasus-Malware vertreibt. Der 
Vertrag wurde in E-Mails der Armee be- 
stätigt, die von der Gruppe Guacamaya 
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nach einem Hackerangriff veröffent- 
licht wurden. 

Das Citizen Lab der Universität To- 
ronto stellte fest, dass die Telefone des 
Menschenrechtsaktivisten Raymundo 
Ramos, des Journalisten Ricardo Ra- 
phael und eines Journalisten von Ani- 
mal Politico, der nicht genannt werden 
möchte, im Jahr 2019 mit der Malware 
infiziert wurden. Alle drei hatten ge- 
meinsam, dass sie Fragen im Zusam- 
menhang mit Menschenrechtsverlet- 
zungen durch die Streitkräfte unter- 
suchten. 

Nachdem schon 2017 während der 
Amtszeit von Pefia Nieto Pegasus in 
Mexiko eingesetzt worden war, be- 
hauptete im Jahr 2019 der neue Präsi- 
dent Löpez Obrador, dass die Regierung 
seit Beginn seiner Amtszeit keine Spy- 
ware wie Pegasus mehr verwende: „Wir 
haben Anweisungen gegeben, dass es 
keine Spionage geben wird.” Ricardo 
Raphael, einer der drei Betroffenen, ist 
der Ansicht, dass die dokumentierten 
Fakten darauf hindeuten, dass der Ge- 
heimdienstapparat des Landes vom Mi- 
litär dominiert wird: „Dies zeigt, dass 
die Bundesregierung ihre Zusage, die 
illegale Spionage in Mexiko zu been- 
den, nicht eingehalten hat.” 

Zahlreiche weitere Länder, u.a. 
Saudi-Arabien, Marokko oder die Ver- 
einigten Arabischen Emirate, nutzten 
die Pegasus-Software zur politischen 
Überwachung. Zuletzt war eine groß- 
angelegte Überwachungskampagne in 
Thailand aufgedeckt worden. Die Or- 
ganisation Forensic Architecture doku- 
mentiert auf einer interaktiven Platt- 
form über 60 Fälle, in denen mit einer 
NSO-Spyware Aktivisten ausgespäht 
wurden und „wie die NSO Group Staats- 
terror ermöglicht”. Apple hat laut ei- 
genen Angaben inzwischen Warnmel- 
dungen an potenziell betroffene Nut- 
zerinnern und Nutzer in 150 Ländern 
weltweit verschickt. Im Mai 2022 nahm 
der Untersuchungsausschuss des EU- 
Parlaments zum Einsatz von Pegasus 
und vergleichbarer Spionagesoftware 
mit einer Anhörung von IT-Sicherheits- 
experten seine inhaltliche Arbeit auf 
(Knobloch, Spionagesoftware Pega- 
sus sorgt in Mexiko erneut für Ärger, 
www.heise.de 04.10.2022, Kurzlink: 
https://heise.de/-7282937; vgl. u.a. 
DANA 1/2022, 53 ff.). 


Iran 


Durchsetzung des Verhül- 
lungszwangs mit automati- 
scher Mustererkennung 


Mit automatischer biometrischer Ge- 
sichtserkennung etwa in öffentlichen 
Verkehrsmitteln gehen Irans Machtha- 
ber gegen Frauen vor, die ihr Gesicht 
nicht „korrekt“ verhüllen. Kameras 
sollen gemäß einer Ankündigung der 
zuständigen Moralbehörde des Lan- 
des dazu genutzt werden Frauen und 
Mädchen auszuspähen, die ihren Hid- 
schab nicht korrekt tragen. Finanziert 
werden soll das Projekt aus den einge- 
nommenen Geldstrafen. Bei Verletzung 
der Verhüllungsvorschriften sind sogar 
Haftstrafen und der Entzug grundle- 
gender Bürgerinnenrechte sowie des 
Internetzugangs vorgesehen. Nach der 
islamischen Revolution 1979 wurde der 
Hidschab-Zwang für alle Frauen und 
Mädchen, die älter als neun Jahre sind, 
eingeführt. 

Biometrische Ausweise ermöglichen 
die Durchsetzung der Verhüllungsvor- 
schriften mittels Gesichtserkennung. 
Für immer mehr Bedürfnisse ist der Ein- 
satz biometrischer Ausweise verpflich- 
tend. Damit verfügt die Regierung über 
eine Datenbank mit Irismustern, Ge- 
sichtern und Fingerabdrücken der meis- 
ten Einwohner Irans. Diese Datenbank 
wird nun zur schärferen Unterdrückung 
von Frauen und Mädchen genutzt. 

Während sich das Land in einer schwe- 
ren Wirtschaftskrise mit extremer Infla- 
tion befindet, verschärft die speziell 
zuständige Polizeibehörde ihr Vorgehen 
gegen vermeintlich unmoralisch ge- 
kleidete Frauen und Mädchen. Hierbei 
soll es auch schon zu Schusswaffenge- 
brauch gekommen sein. Selbsternannte 
Moralapostel attackieren vermeintliche 
Übeltäterinnen in der Öffentlichkeit. 
Die öffentliche Hand gibt laut einem Be- 
richt um die 200 Millionen Dollar jähr- 
lich für Hidschab-Propaganda aus. 

Am 15.08.2022 hat Staatspräsident 
Ebrahim Raisolsadati die Vorschriften 
per Dekret weiter verschärft, offenbar 
mit der Zielsetzung das Geldstrafenauf- 
kommen zu steigern, das ins Budget 
der Moralbehörde fließt. Neben den 
„Übeltäterinnen“ selbst sollen auch 
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Gebäudebesitzer bestraft werden, wenn 
ihre Gebäude von nicht ordnungsgemäß 
Verhüllten frequentiert werden. Ebenso 
werden Hausmeister bestraft, wenn die 
Mieterinnen in ihrem Wirkungsbereich 
die Verhüllungsvorschriften nicht ein- 
halten. Gleiches gilt für Behördenmana- 
gerin Bezug auf deren Mitarbeiterinnen. 
Immer häufiger wurde Frauen unter 
dem Vorwand unmoralischer Kleidung 
der Zutritt zu Banken, Ämtern und öf- 
fentlichen Verkehrsmitteln verwehrt. 
Die Moralbehörde beantragte eine neue 
Bestimmung im Computerstrafrecht: 
Wer Bilder oder andere Inhalte online 
stellt, die „öffentlicher Sittsamkeit ent- 
gegenstehen“, oder wer sich im Netz 
einfach nur gegen den Hidschab-Zwang 
ausspricht, soll mit Geldstrafen sowie 
bis zu zwei Jahren Haft bestraft werden 
können. Für den Upload von Bildern ira- 
nischer Frauen ohne Hidschab ist der 
Entzug von Bürgerrechten vorgesehen, 
samt Verbot der Internetnutzung zwi- 
schen sechs Monaten und einem Jahr. 
Frauen im öffentlichen Dienst, deren 
„unislamische” Profilfotos im Netz auf- 
gespürt werden, droht die Entlassung. 
Kurz nach den Verschärfungen wur- 
de bekannt, dass eine Frau, die von der 
Moralbehörde inhaftiert worden war, 
nachdem ihr unziemliches Tragen des 
Kopftuchs vorgeworfen wurde, tot war. 
Darauf entstanden die schwersten Pro- 
teste, die es im Iran seit Jahren gab, bei 
denen viele Frauen und junge Mädchen 
ihr Haar freitrugen und gegen den Kopf- 
tuchzwang z.B. durch Verbrennen der 
Tücher protestierten (Sokolov, Iran: Ge- 
sichtserkennung soll Frauen in Hidsch- 
ab zwingen, www.heise.de 07.09.2022, 
Kurzlink: https://heise.de/-7255428). 


Südkorea 


Datenschutzstrafgelder 
gegen Google und Meta 


Google und der Facebook-Mutterkon- 
zern Meta sollen in Südkorea wegen Ver- 
stößen gegen das Datenschutzgesetz 
Strafen in zweistelliger Millionenhöhe 
zahlen. Die Kommission zum Schutz 
persönlicher Daten (PIPC) warf beiden 
Unternehmen am 14.09.2022 vor, sie 
hätten Kundendaten für personalisier- 
te Online-Werbung genutzt ohne vorher 
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deren Zustimmung eingeholt zu haben. 
Die Nutzenden seien nicht ausreichend 
informiert worden, dass ihre Daten da- 
für gebraucht würden. Google soll 69,2 
Milliarden Won (49,7 Mio. Euro) und 
Meta 30,8 Milliarden Won (22,1 Mio. 
Euro) Strafe zahlen. 

Die Beträge stellten die höchsten 
Geldstrafen dar, die wegen Daten- 
schutzverstößen in Südkorea verhängt 
worden sind, hieß es in einer Mitteilung 
der unter der Aufsicht des südkoreani- 
schen Präsidenten stehenden Kommis- 
sion. PIPC wies die US-Konzerne an ihr 
Verhalten zu korrigieren. Beide Unter- 
nehmen müssten die Nutzenden klar in- 
formieren und deren Zustimmung erfra- 
gen, falls sie Daten über das Verhalten 
ihrer Kunden auf Websites oder in An- 
wendungen verfolgten und sammelten. 

Ein Sprecher von Meta kritisierte die 
Entscheidung und deutete an nötigen- 
falls vor Gericht zu ziehen: „Wir respek- 
tieren die Entscheidung von PIPC, doch 
sind überzeugt, dass wir mit unseren 
Kunden in rechtskonformer Weise zu- 
sammenarbeiten.” Alle Vorgaben wür- 
den erfüllt. Meta sei für alle Optionen 
einschließlich eines Gerichtsbeschlus- 
ses offen (Datenschutz: Südkorea belegt 
Google und Meta mit Millionen-Strafen, 
www.heise.de 14.09.2022, Kurzlink: 
https://heise.de/-7263773). 


China 


NSA wird der Netzwerkspio- 
nage beschuldigt 


Mitarbeiter vom US-Geheimdienst 
NSA (National Security Agency) sollen 
sich gemäß der chinesischen, staatlich 
unterstützten Zeitung Global Times die 
Kontrolle über Teile des chinesischen 
Telekommunikationsnetzes verschafft 
haben. Die NSA habe sich über einen 
E-Mail-Phishing-Angriff auf eine staat- 
lich mitfinanzierte Universität Zugriff 
verschafft. Peking sieht demgemäß die 
Abteilung für Cyber-Kriegsführung der 
USA, namentlich den US-Auslandsge- 
heimdienst NSA, als Angreifer. Bereits 
im Juni 2022 war ein Phishing-Angriff 
auf Angehörige der Northwestern Poly- 
technical University bekannt geworden. 
Lehrkräfte und Studenten sollen damals 
E-Mails mit Trojanern erhalten haben, 


über die an persönliche Daten gelangt 
werden sollte. 

Der NSA soll es nach Angaben der 
Global Times darüber gelungen sein 
Fernzugriff auf die Kernnetzwerke der 
Universität und einen Zugang zu den 
Telekommunikationsbetreibern erlangt 
zu haben. Dabei seien sensible Daten, 
unter anderem Netzwerkkonfiguratio- 
nen, Netzwerkverwaltungsdaten und 
Betriebsdaten erbeutet worden. Wie 
die Angreifer im Detail vorgegangen 
sind und von dem Netz der Universität 
den Zugriff auf Teile des chinesischen 
Telekommunikationsnetzes erlangen 
konnten, verrät die Global Times nicht. 
Eine Analyse der Malware hätte aber 
ergeben, dass der Angriff auf das Data 
Reconnaissance Bureau der Informati- 
onsabteilung der US-amerikanischen 
NSA zurückgehe. Unklar blieb, welche 
Telekommunikationsbetreiber konkret 
betroffen waren. 

Das chinesische Telekommunikati- 
onsnetz befindet sich weitgehend in 
den Händen von den drei großen Be- 
treibern China Mobile, China Unicom 
und China Telecom, sodass mutmaßlich 
einer oder mehrere dieser Betreiber be- 
troffen sein könnten. Die USA und China 
werfen sich in den letzten Jahren immer 
wieder gegenseitig Wirtschaftsspionage 
und allgemein das Eindringen in Netze 
und Ausspähen von Daten vor. China be- 
schuldigt dabei zunehmend staatliche 
Stellen der USA als Angreifer (Bünte, 
US-Geheimdienst soll ins chinesische 
Telekommunikationsnetz eingedrungen 
sein, www.heise.de 22.09.2022, Kurz- 
link: https://heise.de/-7272274) 


Vietnam 


Speicherpflicht von Inter- 
net-Nutzungsdaten 


Vietnams Regierung hat Telemedi- 
en- und Telekommunikationsfirmen 
verpflichtet ab dem 01.10.2022 Daten 
ihrer Nutzenden zu speichern. Die per 
Erlass am 17.08.2022 veröffentlichten 
Regeln sollen für soziale Netzwerke wie 
Facebook, Internetkonzerne wie Google 
sowie Telekommunikationsanbieter gel- 
ten. Es gehe um die Daten aller Internet- 
nutzer, „von Finanz-, über biometrische 
Daten hin zu Informationen über die 
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ethnische Zugehörigkeit und die politi- 
schen Ansichten“. Auch alle Daten, die 
beim Surfen im Internet anfallen, sollen 
vor Ort vorgehalten werden. Ausländi- 
schen Firmen bleiben gemäß Pressebe- 
richten 12 Monate, um nach Inkraft- 
treten der Regeln die lokale Datenspei- 
cherung umzusetzen und dafür verant- 
wortliche Büros einzurichten. Die Daten 
müssen mindestens 24 Monate gespei- 
chert werden. Vietnamesischen Behör- 
den wird derweil erlaubt „Daten für Er- 
mittlungszwecke anzufordern” und die 
Entfernung von Inhalten zu verlangen, 


sollten diese gegen die Richtlinien der 
Regierung verstoßen. Die in Vietnam 
vertretene Facebook-Mutter Meta und 
Google äußerten sich zunächst nicht zu 
den neuen Reqularien. 

Vietnam wird seit Jahrzehnten von 
der Kommunistischen Partei (KPV) do- 
miniert, der einzigen legalen Partei im 
Land. Diese sorgt für strikte Internet- 
kontrolle; immer wieder gibt es dra- 
konische Strafen für online getätigte 
Meinungsäußerungen. 2020 hatten 
Provider in dem Land Facebook so lange 
abgeklemmt und das Portal unbenutz- 
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bar gemacht, bis sich der US-Dienst be- 
reit erklärte „staatsfeindliche” Inhalte 
deutlich schärfer zu zensieren. In Bezug 
auf die Pressefreiheit listete Reporter 
ohne Grenzen das Land zuletzt auf Platz 
174 von 180. Vor Vietnam hat beispiels- 
weise Russland ausländische IT-Konzer- 
ne dazu verpflichtet Nutzungsdaten im 
Land zu speichern (Mai, Hanoi greift 
nach den Nutzerdaten, taz 22.08.2022; 
Holland, Vietnam: IT-Konzerne müssen 
alle Daten überihre Nutzer im Land spei- 
chern, www.heise.de 18.08.2022; Kurz- 
link: https://heise.de/-7235468). 


Abmahnungen wegen 
Einbindung von Online- 
Google-Fonts 


Tausende Empfänger erhielten For- 
derungsschreiben in ihrem E-Mail- 
Postfach oder im Briefkasten, weil sie 
Googles kostenlose Fonts in ihre Web- 
sites eingebettet haben und deshalb 
100 € bis knapp 500 € bezahlen sol- 
len. Die Abmahnungen werfen ihnen 
einen „unzulässigen Eingriff in das 
allgemeine Persönlichkeitsrecht” und 
einen Verstoß gegen die Datenschutz- 
Grundverordnung (DSGVO) vor. Bei 
Google-Fonts handelt es sich um ein 
Verzeichnis von mehreren Hundert frei 
verwendbarer Schriftarten. Website- 
Betreiber können die Schriftarten he- 
runterladen und lokal auf dem eigenen 
Webserver bereitstellen. Alternativ 
dazu können sie die Schriften auch on- 
line einbinden. Dies führt dann dazu, 
dass der Browser des Besuchers sie 
beim Aufruf einer Seite von den Ser- 
vern des US-Konzerns lädt, was recht- 
lich problematisch ist. 


« Rechtlicher Hintergrund 
Das Landgericht (LG) München I hat- 
te im 20.01.2022 die Online-Nutzung 


von Google Fonts mit der Begründung 
verboten, dass dabei unerlaubt perso- 
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nenbezogene Daten an Google in die 
USA weitergegeben werden (Az. 3 0 
17493/20). Diese Entscheidung bildet 
die Grundlage für die versandten Ab- 
mahnungen und Forderungsschreiben. 
Es handelt sich bei den übermittelten 
dynamischen IP-Adressen um Informa- 
tionen, diein den Schutzbereich des Da- 
tenschutzes fallen. Der Seitenbetreiber 
habe das Recht des Klägers auf infor- 
mationelle Selbstbestimmung verletzt, 
indem er die dynamische IP-Adresse 
des Besuchers beim Aufruf der Seite an 
Google weiterleitete. Hierfür habe es 
keine Rechtsgrundlage in Form einer 
Einwilligung oder eines berechtigten 
Interesses gegeben. Dem Kläger stehe 
somit ein Unterlassungsanspruch zu. 
Zudem hatte das LG München I dem 
Besucher der Website noch einen Scha- 
densersatzanspruch in Höhe von 100 € 
zugebilligt. Ein solcher Anspruch kann 
sich aus Artikel 82 der DSGVO ergeben 
und steht jeder Person zu, „der wegen 
eines Verstoßes gegen diese Verord- 
nung ein materieller oder immateriel- 
ler Schaden entstanden ist“. Die Frage, 
welche Intensität ein solcher Eingriff 
haben muss, um ein Schmerzensgeld 
auszulösen, ist sehr umstritten. In der 
juristischen Diskussion wird die Ent- 
scheidung aus München überwiegend 
als überzogen kritisiert. Die Richter sa- 
hen im vorliegenden Fall bereits durch 
die Übermittlung an Google einen 


„Kontrollverlust” des Betroffenen und 
ein „individuelles Unwohlsein“. Denn 
Google sei bekannt dafür Daten über 
seine Nutzer zu sammeln. Zudem sei es 
unstreitig, dass die IP-Adresse an einen 
Serverin den USA übermittelt werde, wo 
kein angemessenes Datenschutzniveau 
gewährleistet sei. 

Diese Argumentation machen sich 
jetzt die Absender der Abmahnungen 
zu eigen. Man habe die Website des 
Empfängers besucht, dieser verwen- 
de die Online-Version der Google Fonts 
und solle daher wegen des dadurch ver- 
ursachten individuellen Unwohlseins 
schnellstens 100 € an den Versender 
überweisen. Kommt das Schreiben von 
einem Anwalt, so fordert dieses, dass 
die Empfänger den Schaden ihrer Man- 
danten begleichen, eine Unterlassungs- 
erklärung für die Nutzung der Google- 
Fonts abgeben und die Anwaltsgebüh- 
ren, meistin Höhe von ca. 370 €, zahlen 
sollen. 

Gegen die anwaltlichen Abmahnun- 
gen gibt es eine ganze Reihe von po- 
tenziellen Einwendungen, sodass es 
sich dabei keinesfalls um „sichere Fälle” 
für die Abmahner handelt. Es spricht 
einiges dafür, dass die Anwaltsschrei- 
ben rechtsmissbräuchlich sind, da die 
angeblichen Betroffenen die Websites 
vorsätzlich angesteuert haben dürften. 
Trotzdem sollten zumindest juristische 
Laien in diesen Fällen vorsichtshalber 
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einen IT-Anwalt ins Boot holen. Kom- 
men die Aufforderungsschreiben nicht 
von einem Anwalt, dann ist es eher un- 
wahrscheinlich, dass die Mehrheit der 
Gerichte den Ansichten des L6 München 
hinsichtlich der Zahlung einer Geldent- 
schädigung folgen. Es spricht einiges 
dafür, dass man derartige Schreiben 
ignorieren kann. Allerdings sollte jeder 
Website-Betreiber auf die lokal gehoste- 
te Version von Google Fonts umsteigen. 


° Anrüchige Spendenaktion 


Bei einer der Abmahnenden handelt 
es sich um eine „Interessengemein- 
schaft Datenschutz“ (IG Datenschutz), 
hinter der ein Martin Ismail aus Hanno- 
ver und dessen Anwalt Kilian Lenard aus 
Berlin stecken. Lenard bezeichnet sich 
auf seiner eigenen Website als kompe- 
tenter Ansprechpartner für Datenschutz 
und IT-Recht. Ausweislich seiner Websi- 
te ist Kilian Lenard seit über 20 Jahren 
auf dem Gebiet des Internetrechts tä- 
tig und begleitet seine Mandanten seit 
1997 erfolgreich, wobei der besondere 
Fokus seiner Beratung auf Startups und 
Technologiefirmen liege. Über Martin 
Ismail ist nicht viel bekannt. Er wird auf 
der Website der IG Datenschutz als Ver- 
antwortlicher genannt. Angeblich tritt 
die IG Datenschutz für den Datenschutz 
und die Privatsphäre im Internet ein. 
Man beobachte, dass zwar verschiedene 
Maßnahmen getätigt wurden, es aber 
leider noch viele Bereiche gäbe, bei de- 
nen die DSGVO nicht umgesetzt werde. 

Vom 29.09.2022 warb die IG Daten- 
schutz für sich aufihrer Webseite damit, 
dass sie gemeinnützige Organisationen 
mit Spenden in Höhe von jeweils 3.060 € 
unterstütze - und zwar die Deutsche 
Vereinigung für Datenschutz e.V. (DVD) 
und den Deutschen Kinderverein e.V. 
Als der DVD-Vorstand feststellte, dass 
mit dem Namen der Bürgerrechtsverei- 
nigung Werbung für die IG gemacht wur- 
de, wandte sich die DVD mit folgendem 
Schreiben an die IG Datenschutz: 


Sehr geehrte Herren Ismail und Lennard, 


mit großer Verärgerung mussten wir 
feststellen, dass Ihre „großzügige“ 
Spende für die DVD in Höhe von 3.060 € 
auf eine rechtsmissbräuchliche Abmah- 
nung von oft gutgläubigen und unbe- 
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darften Webseitenbetreibern zurück- 
geht. Der DVD-Vorstand hat beschlossen 
das Geld nicht anzunehmen und fordert 
Sie auf umgehend Ihre Behauptung auf 
der Webseite https://igdatenschutz. 
de/spenden zu unterlassen, die angeb- 
lich bedachte DVD verfolge „ein sehr 
ähnliches Ziel wie die IG Datenschutz, 
weswegen wir mit Spenden ihr Arbeit 
unterstützen möchten”. Ihr unseres Er- 
achtens unzulässiges Vorgehen schadet 
der DVD als Verein und dem Anliegen des 
Datenschutzes generell. Die DVD wird 
sich mit den ihr zur Verfügung stehen- 
den Mitteln dagegen zur Wehr setzen 
mit Ihrer Abmahnaktion in Verbindung 
gebracht zu werden. Teilen Sie uns eine 
Kontoverbindung für die Rücküberwei- 
sung mit. 

Außerdem fordern wir Sie auf, um- 
gehend Ihre Abmahnaktivitäten zu 
beenden. Teilen Sie uns mit, wieviele 
Webseitenbetreiber Ihrer Zahlungsauf- 
forderung bisher nachgekommen sind. 
Gruß, Frank Spaeing, Heinz Alenfelder, 
Thilo Weichert 


Der überwiesene Betrag wurde von der 
DVD umgehend zurücküberwiesen. Tat- 
sächlich taucht die DVD auf der Websei- 
te der IG-Datenschutz seit dem 04.10. 
2022 nicht mehr auf. Eine Antwort auf 
ihre Fragen erhielt die DVD aber nicht. 
Der Deutsche Kinderverein e.V. folgte 
dem Beispiel der DVD. Als neuer Spende- 
nempfänger wurde seit dem 30.09.2022 
der Cybermobbing-Hilfe e.V. aufge- 
führt. Die Cybermobbing-Hilfe folgte 
dem Vorgehen der DVD und des Kinder- 
vereins. Der Vorsitzende des Vereins, 
Lukas Pohland, erklärt die Entschei- 
dung des Vereins: „Bei Förderungen ist 
es uns wichtig, dass diese konzeptionell 
zu unserer Philosophie passen. Das se- 
hen wir hier nicht“. 


+ Trittbrettfahrer und Widerstand 


Die „Interessengemeinschaft Daten- 
schutz” ist nicht die einzige Pseudo- 
Datenschutzorganisation, die sich mit 
dieser anrüchigen Methode eine golde- 
ne Nase besorgt. Unter dem Namen VIVA 
Datenschutz mahnt z.B. die RAAG Kanz- 
lei des Dikigoros Kairis für einen Herrn 
und eine Frau Wang Yu Online-Google- 
Fonts ab. Gefordert wurde hier eine Zah- 
lung eines Schmerzensgeldes in Höhe 


von 140 €, „entstandene Anwaltskos- 
ten“ in Höhe von 50 € zuzüglich Um- 
satzsteuer, womit sämtliche Ansprüche 
per Vergleich geklärt sein sollen. Ver- 
wiesen wird darin auf angeblich erstell- 
te Trackingprotokolle, welche in einem 
Anhang ersichtlich sein sollen, der aber 
den Schreiben nicht beigefügt war. Wei- 
tere Abmahnaktionen gegen Webseiten 
mit Online-Google-Fonts folgten. 

Dass die rechtliche Abwehr der Ab- 
mahnversuche erfolgreich sein kann, 
zeigt eine einstweilige Verfügung des 
Landgerichts Baden-Baden, das mit 
Beschluss vom 11.10.2022 auf Antrag 
eines Abmahnopfers unter Androhung 
eines Ordnungsgeldes von 5 Euro bis zu 
250.000 Euro und unter Festsetzung 
eines Streitwertes von 30.000 Euro Is- 
mail untersagt „einen Partnerbetrieb 
des Franchise-Systems der Antragstel- 
lerin mit Forderungen im Zusammen- 
hang mit der Einbindung von ‚Google 
Font‘ zu kontaktieren” (Az. 3 0 277/22) 
(Heidrich, Angeblicher DSGVO-Verstoß: 
Abmahnwelle wegen Google Fonts, www. 
heise.de 09.08.2022, Kurzlink: https:// 
heise.de/-7206364; www.abofalle- 
anwalt.de, 29.09.2022, Abmahnung Kili- 
an Lenard für Martin Ismail wegen Google 
Fonts; Mühlenmeier, Datenschutzverei- 
ne sehen sich instrumentalisiert, www. 
golem.de 05.10.2022; Loschelder, Ab- 
mahnung Wang Yu und Schadensersatz, 
VIVA Datenschutz - eine Interessenge- 
meinschaft Datenschutz? www.anwalt. 
de 10.10.2022; Recker, Update: Abmah- 
nung der RAAG Kanzlei wegen Google 
Fonts, www.anwalt.de 11.10.2022; Weiß, 
Neue Abmahnwelle: Wieder gehen Sch- 
reiben wegen Google Fonts und DSGVO 
raus, www.heise.de 27.10.2022, Kurz- 
link: https://heise.de/-7322064; siehe 
hierzu auch die DVD-Presseerklärung in 
diesem Heft, S. 249). 


CCC knackt Video-Ident- 
Verfahren 


Der Chaos Computer Club (CCC), des- 
sen Mitgliedern sich zur Aufgabe ge- 
macht haben Sicherheitslücken aufzu- 
decken, hat eine solche beim sogenann- 
ten Video-Ident-Verfahren nachgewie- 
sen. Wer heute online zum Beispiel eine 
Versicherung abschließt oder ein Konto 
bei einer Bank eröffnen will, kann sich 
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bei vielen Anbietern per Video-Ident 
anmelden: Den Ausweis in die Compu- 
ter- oder Handykamera halten, das geht 
schnell und erspart den Gang etwa in 
eine Post-Filiale. 


° Die Methode des CCC 


Der CCC belegt, dass es möglich ist 
eine falsche Identität vorzutäuschen. 
Damit würde man Konten eröffnen kön- 
nen oder auch Zugang erhalten zur elek- 
tronischen Gesundheitsakte. Mit etwas 
Farbe und einer Open-Source-Software 
konnten die Verfahren von sechs nati- 
onalen und internationalen Anbietern 
überlistet werden. Wer sie sind, wurde 
vom CCC nicht genannt. Stattdessen for- 
dert der CCC in einer Pressemitteilung 
die Verfahren generell „nicht mehr dort 
einzusetzen, wo ein hohes Schadenspo- 
tential besteht”. 

Um für eine Identifizierung per Video 
die falsche Identität vorzutäuschen, 
filmt der Täuscher einen Ausweis aus 
mehreren Richtungen. Die Plastikkar- 
te liegt dafür auf einer speziellen Plat- 
te mit Markierungen. Damit sein Bild 
und der gewünschte Name auf dem 
Ausweis erscheint, schneidet er diese 
am Computer aus einem zweiten abge- 
filmten Ausweis mit spezieller Software 
aus. Während er den ersten Ausweis in 
die Kamera hält, sieht der Mitarbeiter, 
der die Identität prüfen soll, auf sei- 
nem Bildschirm ein ganz anderes Bild. 
Denn das Bild des echten Ausweises 
wird per Software überlagert von den 
Fälschungen, die auf einem handels- 
üblichen Fernseher angezeigt und von 
dort ein zweites Mal abgefilmt werden. 
Und dieses Bild kommt bei dem Identi- 
fizierer an. Die vom CCC genutzten Aus- 
weispapiere wurden von Testpersonen 
zur Verfügung gestellt, deren Identität 
nicht preisgegeben wurde. 

Der CCC forderte: „Es wird Zeit für 
ein Ende der Beweislastumkehr: Nicht 
die Betroffenen sollten Schwächen der 
Systeme nachweisen müssen, die Ver- 
fahrensbetreiber sollten vielmehr ver- 
pflichtet werden deren Sicherheit nach 
anerkannten Regeln zu belegen. Die 
Erfüllung bestehender und neuer Anfor- 
derungen sollte künftig durch unabhän- 
gige Tests unter realen Angriffsbedin- 
gungen regelmäßig nachgewiesen wer- 
den. Insbesondere bedarf jede Aussage 
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zur Wirksamkeit von Gegenmaßnahmen 
gesicherter Evidenz. Die bloße Behaup- 
tung, man habe etwas KI drüberge- 
sprenkelt, darf nicht mehr ausreichen.” 


+ Offizielle Reaktionen 


Die Gematik, zuständig für die Digitali- 
sierung des Gesundheitswesens, hat das 
Video-Ident-Verfahren für die elektroni- 
sche Patientenakte nach dem Bekannt- 
werden des Versuchs des CCC gestoppt. 
Das Bundesgesundheitsministerium be- 
grüßte das am 09.08.2022 durch die Ge- 
matik ausgesprochene, vorläufige Verbot 
der Video-Identifikation: Gerade Patien- 
ten- und Behandlungsdaten seien hoch- 
sensible Daten, deswegen sei das BMG 
um hohe Sicherheitsstandards bemüht. 

Auch das Bundesinnenministerium 
zeigte sich kritisch: „Das Video- und 
Autoidentifizierungsverfahren ist 
grundsätzlich eine Brückentechnolo- 
gie, die aufgrund ihrer Marktdurch- 
dringung und Verfügbarkeit derzeit zur 
Fernidentifizierung genutzt wird.” Man 
nehme die vom CCC dokumentierten 
Angriffsvektoren sehr ernst und wolle 
sorgfältig prüfen - und danach auch die 
Zukunft von Videoident insgesamt be- 
urteilen. Das dem Bundesinnenminis- 
terium nachgeordnete Bundesamt für 
Sicherheit in der Informationstechnik 
(BSI) bekräftigte kritisch: „Beivideoba- 
sierten Fernidentifikationslösungen ist 
grundsätzlich eine Manipulation des 
Videostreams möglich, sodass videoba- 
sierte Lösungen nicht dasselbe Sicher- 
heitsniveau erreichen können wie bei- 
spielsweise die Online-Ausweisfunktion 
des Personalausweises. Die Entschei- 
dung, inwiefern das Video-Ident-Ver- 
fahren in anderen Anwendungsgebieten 
unter den gegebenen Umständen wei- 
terbetrieben werden kann, liegt in der 
Zuständigkeit der jeweiligen Aufsichts- 
behörden.” 


« Kritik aus der Finanz- und Digital- 
wirtschaft 


Das Video-Ident-Verfahren gibt es 
schon seit Jahren. Gerade Jüngere nut- 
zen das Verfahren bei Online-Banken 
wie N26, aber auch Großbanken oder 
Sparkassen machen mit. Ein Banker ei- 
nes großen deutschen Instituts sagte: 
„Video-Ident stirbt gerade.” Offiziell da- 


gegen beschwichtigen die Banken und 
weisen auf die Sicherheit des Verfahrens 
hin, das schließlich schon seit Jahren 
eingesetzt werde. Gemäß einer journa- 
listischen Umfrage plante zunächst kei- 
ne namhafte Bank in Deutschland das 
Video-Ident-Verfahren zu stoppen. Die 
Deutsche Kreditwirtschaft, Deutsch- 
lands wichtigster Interessenverband für 
Finanzinstitute, ließ wissen, das Ver- 
fahren werde „beanstandungsfrei ge- 
nutzt” und sei zuletzt 2022 von der Ba- 
fin überprüft und für gut befunden wor- 
den. Gemäß dem Bankenverband beste- 
hen weitere Maßnahmen unter anderem 
darin, dass Neukunden über sechs bis 
zwölf Monate einem strengen Transak- 
tionsmonitoring unterliegen würden, so 
eine Sprecherin, „Die Entscheidung der 
Krankenkassen das Verfahren nicht zu 
nutzen, muss nicht automatisch Rück- 
schlüsse auf Anwendungen in anderen 
Sektoren haben.” 

Eine Sprecherin der Bafin erklärte: 
„Hinweise auf Sicherheitsprobleme oder 
Schwachstellen in Bezug auf das Iden- 
tifizierungsverfahren nehmen wir sehr 
ernst.” Allerdings sei eine abschließen- 
de Bewertung der Angriffsszenarien 
kurzfristig nicht möglich, da „maßgeb- 
liche“ Einzelheiten noch nicht bekannt 
seien. Sollte es zu einer Einschränkung 
kommen, wird das insbesondere die 
Banken hart treffen, die keine oder nur 
wenige Filialen haben. 

Auch in der Versicherungswirtschaft 
herrscht Aufregung; ein einheitliches 
Vorgehen zeichnete sich nicht ab. 
Während der Gesamtverband GDV auf 
die Bafin verwies, bietet der genossen- 
schaftliche Versicherer R+V Video-Ident 
zunächst nicht mehr an, steht aber im 
Kontakt mit seinem Video-Ident-Anbie- 
ter, um auszuloten, „mit welchen wei- 
teren Maßnahmen die Sicherheit noch 
weiter verbessert werden kann“. 

Für die Branche der Video-Ident-An- 
bieter kam der Vorstoß des Chaos Com- 
puter Clubs überraschend. Sie hätten 
sich gewünscht, so Vertreter der Bran- 
che, vorab über die Lücke informiert zu 
werden. Das sieht der für den Hack ver- 
antwortliche CCC-Sicherheitsforscher 
Martin Tschirsich anders. Dem Bundes- 
amt für Sicherheit in der Informations- 
technik (BSI) sei diese Angriffsmög- 
lichkeit schon lange bekannt, daher 
habe man die Behörde am 08.08.2022 
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nur darüber informiert, dass man in 
Kürze die Meldung über den erfolgrei- 
chen Hack veröffentlichen werde. Ge- 
mäß Tschirsich wurde die Aktion schon 
„seit Längerem” vorbereitet. Ziel sei es 
gewesen zu zeigen, dass die theoretisch 
bekannte Lücke tatsächlich in der Pra- 
xis ausgenutzt werden kann und dass 
dies den Anbietern auch im Nachhinein 
nicht auffalle. Alle eröffneten Konten 
oder Zugänge hätten bei der Bekanntga- 
benoch funktioniert. Den Aufwand, der 
für die Überwindung der Sicherheitsme- 
chanismen getrieben werden muss, hält 
Tschirsich für lediglich „moderat“. 

Sehr kritisch reagierte der Digital- 
Verband Bitkom auf die Entscheidung 
der Gematik Video-Ident sofort zu stop- 
pen: „Wegen einzelner Sicherheitsvor- 
fälle, die sich in der digitalen Welt eben- 
so wenig ausschließen lassen wie in der 
analogen Welt, darf man (...) nicht wie 
mit einem Bulldozer das Video-Ident- 
Verfahren als solches plattmachen.” 
Anderswo sei man bereits weiter, so 
der Verband: „Länder wie Dänemark 
machen uns vor, wie sich Bürgerinnen 
und Bürger einfach, sicher und vertrau- 
ensvoll digital identifizieren können” 
(Borchers, Chaos Computer Club hackt 
Videoident-Verfahren, www.heise.de 
10.08.2022, Kurzlink: https://heise. 
de/-7216044; Steiner, Nach Video- 
ident-Hack: Alle prüfen, Banken ver- 
trauen vorerst weiterhin, wwwr.heise.de 
11.08.2022, Adchayan/Martin-Jung/ 
Wischmann, Ich bin’s. Oder doch nicht? 
SZ 15.08.2022, 15). 


Boarding-Pass eröffnet Zu- 
gang zu sensiblen Daten 


Über den QR-Code auf einem Flugli- 
nien-Boardingpass können Fremde Zu- 
gang auf Daten des Passagiers erlangen, 
darunter seine E-Mail-Adresse und seine 
Handynummer. 

Weil sie sensible Daten enthält, so der 
Ratschlag der Lufthansa, solle man sei- 
ne Bordkarte „wie Bargeld” behandeln. 
Carsten Spohr, Chef der Fluglinie, hat 
sich offenbar nicht daran gehalten und 
wurde deshalb zum Opfer eines Daten- 
diebstahls. 

Boarding-Pässe ermöglichen den Zu- 
gang zu Informationen, die über einen 
konkreten Flug hinausgehen, auch 
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sensible Daten, etwa die Servicekarten- 
nummern von Vielfliegern. Gemeinsam 
mit dem Nachnamen des jeweiligen 
Kunden lassen sich darüber auf der Luft- 
hansa-Website die jeweils anstehende 
Buchung auslesen, Bordkarten drucken 
oder Versandarten für die Einsteigedo- 
kumente verändern. Eine zusätzliche 
PIN wird lediglich für das Einloggen ins 
Nutzerprofil des Kunden benötigt. 

Gemäß einem Lufthansa-Sprecher ist 
dem Unternehmen bewusst, dass sich 
über die im Boarding-Pass enthaltenen 
Informationen Daten über eine aktuelle 
Buchung und etwaige Handynummern 
oder E-Mail-Adressen auslesen lassen, 
sofern diese hinterlegt sind. Ein Si- 
cherheitsrisiko liege zwar „nicht vor“, 
jedoch arbeite das Unternehmen über 
eine Geschäftseinheit namens „Digita- 
ler Hangar“ an neuen Standards für die 
Industrie. Der Schutz der Daten liege in 
den Händen der Kundschaft: „Wir emp- 
fehlen unseren Fluggästen, grundsätz- 
lich sehr sorgsam mit den Flugdokumen- 
ten umzugehen. Sie sind wie Bargeld zu 
behandeln.” An diesen Ratschlag hatte 
sich Spohr offenbar nicht gehalten, so 
dass Unbekannte seine Daten abfragten 
(Fremde hatten Zugriff auf Daten von 
Lufthansa-Chefs, www.spiegel-online. 
de 23.09.2022 = Lufthansa-Boss wird 
Opfer von IT-Lücke, Der Spiegel Nr. 39, 
24.09.2022, 63). 


KI soll Ertrinkende in 
Schwimmbad detektieren 


Bäderbetriebe in München und Wies- 
baden erproben ein israelisches Über- 
wachungssystem mit Kameras und Be- 
wegungserkennung, dasin Not geratene 
Badende vor dem Ertrinken retten kön- 
nen soll. Bei verdächtigen Situationen 
schlägt die integrierte, laut Hersteller- 
angaben auf Maschinenlernen basieren- 
de Technik Alarm bei der Badeaufsicht 
über eine Smartwatch. So sollen Ret- 
tungsschwimmer schneller zielgerichtet 
Hilfe leisten können. 

Die Stadtwerke München (SWM) 
haben Ende Juli 2022 im Südbad das 
Pilotprojekt „Smartes Schwimmbad” 
gestartet. Im Zuge der üblichen In- 
standhaltungs- und Reparaturmaßnah- 
men wurde „eine neue Technik für alle 
Becken eingebaut”, so das kommunale 


Versorgungs- und Dienstleistungsun- 
ternehmen: „Künstliche Intelligenz soll 
dabei unterstützen Bewegungsmuster 
im Wasser auch datengesteuert zu er- 
kennen.” Nach einer mehrwöchigen 
Testphase wurden die Kameras scharf 
gestellt. In einem rund zweijährigen 
Pilotprojekt wollen die SWM so Erkennt- 
nisse gewinnen, ob die Technik für alle 
von ihnen betriebenen Bäder „nutzbrin- 
gend“ ist. SWM-Mitarbeiter Max Fuchs 
meint: „Die digitale Hilfe gibt den Kolle- 
gen am Becken mehr Sicherheit.” An der 
Konzentration der Badeaufsicht ändere 
sich durch die Unterstützung nichts, 
die künstliche Intelligenz (KI) könne 
Rettungsschwimmer nicht ersetzen: 
„m schlimmsten Fall müssen wir die 
Schwimmer ja aus dem Wasser retten. 
Das kann die Technik nicht.” 

Das eingesetzte System stammt von 
der Firma Lynxight aus Tel Aviv. Es be- 
steht aus zwei Komponenten: Die einge- 
setzten Kameras sollen im ersten Schritt 
die Bewegungen im Wasser aufzeichnen, 
so die SWM: „Sie erfassen keine Echtbil- 
der einzelner Personen - also auch kei- 
ne Gesichter.” Details der Aufnahmen 
rechne die Lösung in Vektordaten um 
und leite daraus Bewegungsmuster ab. 
Anschließend würden die Bilder sofort 
gelöscht. Die Kamerawinkel reichten 
über die gesamte Wasserfläche. Gekop- 
pelt sind die elektronischen Augen mit 
Smartwatches für das Aufsichtsperso- 
nal vor Ort. Diese sollen in Echtzeit und 
mit genauer Positionsangabe warnen 
können, falls die Bewegung im Wasser 
nach rund 20 Sekunden auf eine unge- 
wöhnliche Lage und mögliche Gefahr 
hindeutet. Schwimmer können zudem 
gemäß der SWM gezählt werden: „Dar- 
über hinaus ist es möglich anhand der 
über längere Zeiträume gewonnenen 
Vektordaten zu analysieren, wie sich die 
Auslastung in den Becken darstellt.” 

Laut dem Münchner Versorgungs- 
betrieb ist das System mit der Daten- 
schutz-Grundverordnung (DSGVO) ver- 
einbar. Die Besucher des Hallenbads in 
Sendling, bei dem bei schönem Wetter 
die Tore der Fassade versenkt werden, 
würden im Eingangsbereich sowie beim 
Betreten der Schwimmhalle schrift- 
lich über die KI-Kontrolle informiert. 
Das System arbeitet noch nicht fehler- 
frei und absolvierte zunächst eine 60 
Tage dauernde Lernphase. So kann das 
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System nicht zwischen Personen un- 
terscheiden, die sich im Wasser bewe- 
gungslos sonnen, oder Schwimmern, 
die Hilfe benötigen. Falsche Warnun- 
gen seien die Folge. In solchen Fällen 
könnten die Bademeister über ihre Uh- 
ren ein Feedback geben und die KI so 
trainieren: „Das System lernt mit jeder 
Aktion dazu und soll dadurch im Verlauf 
des Projekts immer konkretere Vorher- 
sagen und Klassifikationen treffen.” 
So solle die künstliche Intelligenz die 
Rettungsschwimmer bald auch in Situa- 
tionen unterstützen können, „in denen 
Spiegelungen, Blasen oder Schatten im 
Wasser oder auch die Menge an Perso- 
nen die Lage unübersichtlich machen“. 
Trotz der Anfangsschwächen zeigt sich 
die Aufsicht im Südbad begeistert. Be- 
sonders an vollen Tagen helfe das Sys- 
tem schon jetzt sehr, auch wenn esnoch 
keinen richtigen Notfall gegeben habe. 
Die Besucher hätten es bisher kaum 
bemerkt. Die von anderer Seite bereits 
erhobenen Datenschutzbedenken habe 
noch keiner geäußert. 

Das Wiesbadener Frei- und Hallen- 
bad Kleinfeldchen fühlt dem per WLAN 
vernetzten System schon seit einigen 
Monaten auf den Zahn. Der dortige Be- 
triebsleiter Thomas Baum lobt es als 
„drittes Auge“, das alle Ecken immer im 
Blick habe und wertvolle Unterstützung 
am Beckenrandliefere. Lynxightrechnet 
vor: „Die typischen medizinischen Kos- 
ten für ein Opfer eines Beinahe-Ertrin- 


kens reichen von 75.000 US-Dollar für 
die Erstbehandlung bis zu 180.000 US- 
Dollar pro Jahr für die Langzeitpflege. 
Die Gesamtkosten bei einer Hirnverlet- 
zung in so einem Fall könnten mehr als 
4,5 Millionen US-Dollar betragen.” Die 
Überwachung eines Beckens mit der Lö- 
sung schlage im Monat dagegen nur mit 
800 US-Dollar zu Buche. 85% der erfass- 
ten tödlichen Schwimmunfälle ereig- 
neten sich laut der Deutschen Lebens- 
Rettungs-Gesellschaft (DLRG) 2021 
aber nicht in öffentlichen Schwimm- 
bädern, sondern in Binnengewässern 
wie Seen und Flüssen (Rek, Künstli- 
che Intelligenz als Lebensretter, www. 
sueddeutsche.de 18.08.2022; Krempl, 
KI: Smarte Kameras sollen Menschen 
in Schwimmbädern vor dem Ertrinken 
retten, www.heise.de 20.08.2022, Kurz- 
link: https://heise.de/-7238396). 


Kundendaten von Toyota 
waren 5 Jahre potenziell 
öffentlich abrufbar 


E-Mail-Adressen und Kundenverwal- 
tungsnummern von Nutzern von Toyotas 
T-Connect-Plattform waren fünf Jahre 
lang potenziell für jedermann abrufbar, 
weil ein Zugangsschlüssel beim Web- 
dienst zur Softwareentwicklung GitHub 
öffentlich zugänglich war. Über die T- 
Connect-App können Autobesitzer ihre 
Smartphones mit dem Infotainment- 


system des Autoherstellers koppeln. 
Der Sourcecode der App findet sich auf 
GitHub und beinhaltete fünf Jahre lang 
einen Schlüssel, mit dem man auf Daten- 
server mit Kundeninformationen hätte 
zugreifen konnten. Gemäß Toyota wa- 
ren davon 296.019 Nutzende betroffen. 
Bislang seien keine Fremdzugriffe doku- 
mentiert, auszuschließen seien solche 
aber nicht vollständig. Namen, Kredit- 
kartendaten und Telefonnummern sollen 
nicht unter den Informationen gewesen 
sein, da diese sich auf anderen Servern 
befinden. Verantwortlich für das Leck sei 
ein T-Connect-Subunternehmer, der den 
Quellcode irrtümlicherweise öffentlich 
verfügbar gemacht hatte. Toyota ent- 
schuldigte sich für den Vorfall; seit dem 
17.09.2022 seien auf diesem Wege keine 
Zugriffe mehr möglich. 

Um solchen Leaks vorzubeugen, bie- 
tet GitHub die Option von „verschlüs- 
selten Geheimnissen“. Damit können 
Entwickler sensible Informationen ab- 
geschottet in Repositories ablegen und 
so vor unberechtigten Zugriffen schüt- 
zen. Außerdem scannt GitHub Projekte 
auf Authentifizierungsschlüssel und 
blockiert derartigen Code. Kommen hier 
aber benutzerdefinierte Schlüssel zum 
Einsatz, kann diese Schutzmaßnahme 
ins Leere laufen (Schirmacher, Daten- 
panne bei Toyota: Schlüssel zu Kunden- 
daten fünf Jahre öffentlich zugänglich, 
www.heise.de 11.10.2022. Kurzlink: 
https://heise.de/-7304741). 


Rechtsprechung 


EuGH 


Deutsche TK-Vorratsda- 
tenspeicherung verstößt 
gegen europäische Grund- 
rechte 


Der Europäische Gerichtshof (EuGH) hat 
mit Urteil vom 21.09.2022 bestätigt, dass 
die deutsche Regelung für eine allgemei- 
ne und unterschiedslose Vorratsdaten- 
speicherung von Telekommunikations- 
(TK-)Metadaten dem Unionsrecht wider- 
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spricht (C-793/19 und C-794/19). Die 
bisherige deutsche Regelung wird wegen 
rechtlicher Unsicherheiten seit 2017 nach 
einer Entscheidung des Oberverwaltungs- 
gerichts Nordrhein-Westfalen nicht mehr 
angewandt (DANA 3/2017, 177 £.). 

Mit Urteil vom 02.03.2010 hatte das 
Bundesverfassungsgericht schon früh 
eine deutsche Regelung zur TK-Vorrats- 
datenspeicherung aufgehoben (1 BvR 
256/08, 1 BvR 263/08, 1 BvR 586/08). 
Am 08.04.2014 kippte der EuGH die da- 
mals geltende europäische Regelung 
hierzu (C-293/12 und C-594/12). Am 


05.04.2022 kassierte der EuGH eine ent- 
sprechende irische Regelung (DANA 
2/2022, 125 £.), im Jahr 2020 die Gesetze 
von Großbritannien, Belgien und Frank- 
reich (DANA 4/2020, 263 ff.). 


° Das Urteil 


Ausnahmsweise dürfen nach dem aktu- 
ellen Urteil Verkehrs- und Standortdaten 
sowie IP-Adressen gespeichert werden, 
wenn „eine ernste Bedrohung für die 
nationale Sicherheit” vorliegt: „Zur Be- 
kämpfung schwerer Kriminalität können 
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die Mitgliedstaaten jedoch unter strikter 
Beachtung des Grundsatzes der Verhält- 
nismäßigkeit insbesondere eine gezielte 
Vorratsdatenspeicherung und/oder um- 
gehende Sicherung solcher Daten sowie 
eine allgemeine und unterschiedslose 
Speicherung von IP-Adressen vorsehen.” 
In solchen Fällen kann das Telekommuni- 
kationsgesetz (TKG) die Betreiber öffent- 
lich zugänglicher elektronischer Kommu- 
nikationsdienste zu einer „allgemeinen 
und unterschiedslosen Vorratsdatenspei- 
cherung eines Großteils der Verkehrs- 
und Standortdaten der Endnutzer dieser 
Dienste für eine Dauer von mehreren Wo- 
chen” verpflichten. 

Das Bundesverwaltungsgericht hat- 
te sich an den EuGH mit der Frage ge- 
wandt, ob das Unionsrecht den nationa- 
len Rechtsvorschriften entgegensteht 
(DANA 4/2020, 237 f.), was das Gericht 
nun bestätigt: Es wird erlaubt Verkehrs- 
und Standortdaten auf Vorrat nur zu spei- 
chern, „wenn sich der betreffende Mit- 
gliedstaat einer als real und aktuell oder 
vorhersehbar einzustufenden ernsten 
Bedrohung für die nationale Sicherheit 
gegenübersieht”. Ein Gericht oder eine 
unabhängige Verwaltungsstelle muss die- 
se Anordnung kontrollieren, der Zeitraum 
ist begrenzt. Entsprechendes gilt, auch 
bei zeitlicher Begrenzung und Nachweis 
der Notwendigkeit, für die Bekämpfung 
schwerer Kriminalität und die Verhütung 
schwerer Bedrohungen der öffentlichen 
Sicherheit. 

Ein besonderes Augenmerk legte der 
EuGH auf die Bekämpfung der Kinderpor- 
nografie. Weil „die IP-Adresse der einzige 
Anhaltspunkt sein kann, der es ermög- 
licht die Identität der Person zu ermitteln, 
der diese Adresse zugewiesen wurde“, 
lässt das Gericht hier mehr Raum für eine 
Vorratsdatenspeicherung. Unter Be- 
schränkung auf das „absolut Notwendige” 
und unter Einrichtung verfahrensmäßi- 
ger Sicherungen soll hier eine abgespeck- 
te Version der Speicherung möglich sein. 

Der mit dieser anlassbezogenen Vorrats- 
datenspeicherung verbundene Eingriff in 
die Grundrechte bedarf einer gesonderten 
Rechtfertigung. „Daraus folgt, dass na- 
tionale Rechtsvorschriften, die die voll- 
ständige Einhaltung der Voraussetzun- 
gen gewährleisten, die sich im Bereich 
des Zugangs zu auf Vorrat gespeicherten 
Daten aus der Rechtsprechung ergeben, 
naturgemäß den schwerwiegenden Ein- 
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griff in die Rechte der Betroffenen, der 
sich aus der allgemeinen Vorratsspeiche- 
rung dieser Daten ergeben würde, weder 
beschränken noch beseitigen können.” 
Der EuGH bestätigt das zentrale Argument 
der Kritiker der Vorratsdatenspeicherung, 
dass nämlich genaue Schlüsse auf das 
Privatleben der Personen ermöglicht und 
Profile erstellt werden können. Dieskönne 
auch unter den engen Voraussetzungen 
nicht vollständig verhindert werden. 

Hintergrund des Urteils ist der Rechts- 
streit zwischen der Bundesnetzagentur 
und dem Internetprovider Spacenet so- 
wie der Telekom. Beide Unternehmen 
wehrten sich gegen die Vorschrift, be- 
stimmte Daten speichern und diese Da- 
ten den Behörden zur Verfügung stellen 
zu müssen. Das zuvor erstellte Gutachten 
des EuGH-Generalanwalts hatte die nun 
erfolgte Entscheidung bereits inhaltlich 
vorskizziert. Der Fall geht nun zurück an 
das Bundesverwaltungsgericht, das einen 
EU-Rechtsverstoß der deutschen Rege- 
lung festzustellen hat. Die Bundesregie- 
rung muss letztlich ein neues Gesetz erar- 
beiten, worüber sich die Koalition bisher 
nicht einigen konnte. 


+ Reaktionen der Politik 


Die stellvertretende Vorsitzende der 
Unionsfraktion, Andrea Lindholz (CSU), 
sagte: „Gut, dass nun endlich Klarheit 
herrscht.” Sie forderte die Bundesre- 
gierung auf zügig einen Gesetzentwurf 
vorzulegen. Der bayerische Justizminis- 
ter Georg Eisenreich (CSU) betonte die 
Erforderlichkeit von Daten im „Kampf 
gegen Kinderpornografie und sexuellen 
Kindesmissbrauch”: „Die vom EuGH ein- 
geräumten Spielräume für die Verkehrs- 
datenspeicherung insbesondere von IP- 
Adressen müssen vor allem zum Schutz 
der Kinder vor schweren Verbrechen 
genutzt werden. Jeder Fall, der nicht 
aufgeklärt und gestoppt werden kann, 
ist einer zu viel.” Auch bei der Verfol- 
gung von Terroristen, Waffenschiebern 
und Drogenhändlern seien IP-Adressen 
oft die wichtigste oder sogar die einzige 
Spur. Bayerns Innenminister Joachim 
Herrmann (CSU) ergänzte: „Ideologisch 
übertriebener Datenschutz wäre falsch 
verstandener Täterschutz. Das darf sich 
ein Rechtsstaat nicht leisten. Unsere Er- 
mittler von Polizei und Justiz brauchen 
zur Bekämpfung bestimmter schwerer 


Straftaten unbedingt Verkehrsdaten wie 
IP-Adressen.” Er werde die Auswirkun- 
gen des Urteils zu einem Schwerpunkt 
der gemeinsamen Sitzung der deutschen 
Innenminister und Justizminister am 
27.09.2022 in München machen. Zu- 
vor hatte sich Bundesinnenministerin 
Nancy Faeser (SPD) vor allem mit Blick 
auf den Kampf gegen sexuellen Kindes- 
missbrauch für eine auf IP-Adressen 
beschränkte Vorratsdatenspeicherung 
starkgemacht. 

Bundesjustizminister Marco Busch- 
mann (FDP) sprach angesichts des 
Urteils von einem „guten Tag für die 
Bürgerrechte“. Der EuGH habe in ei- 
nem historischen Urteil bestätigt: „Die 
anlasslose Vorratsdatenspeicherung in 
Deutschland ist rechtswidrig.” Die Bun- 
desregierung werde dieses Instrument 
daher „nun zügig und endgültig aus dem 
Gesetz streichen”. Der parlamentarische 
Justizstaatssekretär Benjamin Strasser 
(FDP) meinte, mit „Quick Freeze” liege 
ein rechtssicheres Instrument auf dem 
Tisch. Bei diesem Verfahren sollen Te- 
lekommunikationsanbieter Verkehrs- 
daten bei einem konkreten Tatverdacht 
schnellstmöglich „einfrieren“, um dann 
Täter identifizieren und sie der Strafver- 
folgung zuführen zu können. Sinnlose 
Debatten über eine „umetikettierte an- 
lasslose Datenspeicherung sollten wir 
uns aufgrund des Koalitionsvertrages 
sparen”. 

Grünen-Fraktionsvize Konstantin von 
Notz und Helge Limburg, Sprecher für 
Rechtspolitik, verlangten: „Die Vorrats- 
datenspeicherung gehört auf die Müll- 
halde der Geschichte“. Sie stelle alle Bür- 
ger unter Generalverdacht - und habe 
die in sie gesetzten sicherheitspoliti- 
schen Erwartungen nie erfüllen können. 
Dass die einschlägigen Gesetzesklauseln 
trotz der seit Langem bekannten Linie 
der EuGH-Rechtsprechung bislang nur 
ausgesetzt seien, bezeichneten sie als 
„techtspolitisch höchst fragwürdiges 
Vorgehen“. Weiter: „Für eine - wie auch 
immer geartete - Neuauflage der Vor- 
ratsdatenspeicherung sehen wir weder 
rechtlichen noch politischen Spielraum.” 
Sie begrüßten, dass der Bundesjustizmi- 
nister im Einklang mit dem Koalitions- 
vertrag und den „zwischen den Häusern 
intensiv abgestimmten Vorhabenspla- 
nungen” bereits gemeinsam mit dem In- 
nenministerium an einem Gesetzentwurf 
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für eine Quick-Freeze-Regelung arbeite. 
Es sei überfällig die ebenfalls vereinbar- 
te Überwachungsgesamtrechnung auf 
den Weg zu bringen und „insgesamt eine 
zielgerichtete Sicherheitspolitik” zu ver- 
folgen. 

Das Ampel-Bündnis hat vereinbart: 
„Angesichts der gegenwärtigen rechtli- 
chen Unsicherheit, des bevorstehenden 
Urteils des Europäischen Gerichtshofs 
und der daraus resultierenden sicher- 
heitspolitischen Herausforderungen 
werden wir die Regelungen zur Vor- 
ratsdatenspeicherung so ausgestalten, 
dass Daten rechtssicher anlassbezogen 
und durch richterlichen Beschluss ge- 
speichert werden können” (vgl. DANA 
1/2022, 22£.). 


* Reaktionen aus der Wirtschaft 


Eco-Geschäftsführer Alexander Rabe 
erklärte: „Wir haben als eco-Verband der 
Internetwirtschaft sechs Jahre für dieses 
Urteil mit unserem Mitgliedsunterneh- 
men SpaceNet AG gekämpft.” Jetzt sei 
es an der Zeit für die Bundesregierung 
„konsequent ihren eigenen Koalitions- 
vertrag umzusetzen und Abstand von 
diesem Instrument zu nehmen.” Für die 
SpaceNet AG, die die Klage angestrengt 
hatte, begrüßte der Vorstand Sebasti- 
an von Bomhard das Urteil: „Nach sechs 
Jahren Verfahren sind wir froh, dass das 
Thema Vorratsdatenspeicherung endlich 
geklärt ist. Jetzt herrscht wieder Rechts- 
sicherheit für die Internetbranche, un- 
sere Kunden und alle Bürger.” Es gebe 
geeignetere Mittel wie Quick Freeze, „um 
gegen schwere Kriminalität vorzuge- 
hen”. 

Auch Bernhard Rohleder, Geschäfts- 
führer des IT-Verbands Bitkom, hofft, mit 
dem Urteil „beerdigt der EuGH faktisch 
die Vorratsdatenspeicherung”. Es ergebe 
keinen Sinn sich weiter an diesem Inst- 
rument abzuarbeiten. Die Politik müsse 
„andere und zwar gesetzeskonforme 
Möglichkeiten der digitalen Forensik” 
nutzen. 


 Bürgerrechtler und Datenschützer 


Der Bundesdatenschutzbeauftragte 
Ulrich Kelber reagierte wie folgt: „Mein 
großer Wunsch: Ab heute endgültig 
Schluss mit Debatten über anlasslose 
Vorratsdatenspeicherungen.” Stattdes- 
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sen sollten Instrumente gestärkt werden, 
„die helfen, ob präventiv oder bei der 
Strafverfolgung”, ohne dabei Grundrech- 
te infrage zu stellen. Henning Tillmann 
vom der SPD nahestehenden digitalpoli- 
tischen Verein D64 empfahl der Innenmi- 
nisterin Faeser, sie müsse nun überlegen, 
ob sie den „gescheiterten Kult“ und die 
„verfehlte Ideologie ihrer Vorgänger” im 
Innenministerium fortsetzen oder etwas 
für Opfer tun wolle. Sie solle neu denken 
und „rechtssichere Instrumente” wie die 
Login-Falle umsetzen. 

Über 20 zivilgesellschaftliche Organi- 
sationen warnten am Tag vor dem Urteil 
unter der Ägide des Arbeitskreises gegen 
Vorratsdatenspeicherung in einem offe- 
nen Brief an die Ampel-Koalition, auch 
ein anlassloses Protokollieren von IP- 
Adressen wäre „zum Schutz von Kindern 
ungeeignet und ein schwerer Eingriff in 
Grundrechte“ (in diesem Heft S. 254). 

Sebastian Marg vom Verein Digitale Ge- 
sellschaft, der den Brief mit unterzeich- 
net hat, erklärte: „Es wird Zeit, dass die 
politisch Verantwortlichen die Vorratsda- 
tenspeicherung ein für alle Mal begraben 
und statt dessen grundrechtskonforme 
Alternativen entwickeln“. Die langjähri- 
gen Auseinandersetzungen hätten nicht 
nur zu einer massiven Verunsicherung 
über die geltende Rechtslage geführt, 
sondern auch gezeigt, dass eine anlass- 
lose Massenüberwachung das Gegenteil 
einer den Grundrechten der Bevölkerung 
verpflichteten Politik sei. 

Padeluun vom Verein Digitalcourage, 
der eine noch laufende Verfassungsbe- 
schwerde mit ins Rollen gebracht hat, 
meinte, das anlasslose Protokollieren 
von Verbindungs- und Standortdaten 
„ist keine rechtsstaatliche Ermittlungs- 
maßnahme, sondern - egal, wie man es 
dreht oder wendet - eine grundrechts- 
widrige Massenüberwachung der gesam- 
ten Bevölkerung”. Die Politik müsse sich 
von „jeglicher Vorratsdatenspeicherung 
verabschieden” statt sie ständig in neu- 
em Gewand wiederzubeleben. 

Und Christine Regitz, Präsidentin der 
Gesellschaft für Informatik (GI), hob 
hervor, dass das verdachtsunabhängige 
Sammeln von Verkehrsdaten gravierend 
in die Privatsphäre eingreift und Bürger 
sowie IT-Wirtschaft gleichermaßen ver- 
unsichert: „Sie untergräbt das Vertrauen 
in sichere Internetkommunikation und 
gefährdet dadurch die dringend not- 


wendige Digitalisierung von Wirtschaft 
und Verwaltung.” Anstatt dieses tote 
Pferd weiterzureiten, sollte die Bundes- 
regierung dringend datensparsamere 
Alternativen entwickeln (Weiß, EuGH 
bestätigt: keine anlasslose Vorratsda- 
tenspeicherung - mit Ausnahmen, www. 
heise.de 21.09.2022; Kurzlink: https:// 
heise.de/-7269443; Krempl, Nach EuGH- 
Urteil: Bayern drängt auf Vorratsspei- 
cherung von IP-Adressen, www.heise. 
de 21.09.2022, Kurzlink: https://heise. 
de/-7269995; Deutsche Vorratsdaten- 
speicherung verstößt gegen EU-Recht, 
www.sueddeutsche.de 20.09.2022; 
Janisch, Ein bisschen geht schon, SZ 
21.09.2022, 2). 


EuGH 


Einwilligungen und Betrof- 
fenenansprüche wirken für 
viele Verantwortliche 


Gemäß einem Urteil des Europäischen 
Gerichtshofes (EuGH) vom 27.10.2022 
muss ein für die Verarbeitung perso- 
nenbezogener Daten Verantwortlicher 
auch nach deren Weitergabe dafür Sor- 
ge tragen, dass sie auf Antrag auch bei 
den Empfängern gelöscht werden (Az. 
C-129/21). Das umfangreiche Löschen 
persönlicher Daten aus Verzeichnis- 
sen wie Telefonbüchern könnte nach 
diesem Urteil künftig wesentlich ein- 
facher werden. Haben Telefonanbieter 
die Kundendaten an andere Anbieter 
oder an Suchmaschinen weitergegeben, 
müssen sie auch dafür sorgen, dass dort 
die Einträge gelöscht werden, wenn die 
Kunden sie darum bitten. Die Verant- 
wortlichen müssen - als technisch-or- 
ganisatorische Maßnahme - die Daten 
vorhalten, die nötig sind, um diesen 
Wünschen zu entsprechen. Die Betroffe- 
nen müssen die Löschung nicht bei je- 
dem Unternehmen einzeln beantragen. 

Hintergrund des Urteils ist ein Verfah- 
ren gegen den belgischen Telefonanbie- 
ter Proximus, der unter anderem Tele- 
fonauskunftsdienste und Verzeichnisse 
mit Namen, Adressen und Telefonnum- 
mern anbietet. Diese werden von ande- 
ren Anbietern an Proximus übermittelt 
und Proximus leitet sie auch an andere 
Anbieter und Suchmaschinen wie Goog- 
le weiter. Dafür wurde nur eine einzige 
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Einwilligung der Kunden eingeholt, was 
auch genügt. 

Ein Kunde wehrte sich dagegen, dass 
seine neue Telefonnummer in einem 
solchen Verzeichnis stand, ohne dass er 
eingewilligt hatte. Proximus argumen- 
tierte, dass die Einwilligung des Kunden 
für die Veröffentlichung seiner Daten 
in Telefonverzeichnissen nicht erfor- 
derlich sei. Vielmehr müssten sie nach 
einem sogenannten Opt-out-Verfahren 
ausdrücklich beantragen nicht aufge- 
führt zu werden. Solange das nicht ge- 
schehe, müssten Daten nicht gelöscht 
werden. Dem folgte der EuGH nicht. 
Bevor die Daten veröffentlicht werden, 
müssen die Kunden einwilligen. Durch 
diese Einwilligung könnten dann zwar 
auch andere Unternehmen die Daten 
verarbeiten, sofern damit der gleiche 
Zweck verfolgt wird. Genauso reicht es 
dann aber aus nur ein einziges Mal sei- 
ne Einwilligung zu widerrufen - egal ob 
gegenüber dem eigenen Anbieter oder 
einem der anderen Unternehmen, die 
die Daten verwenden. Die Telefonanbie- 
ter sind dann verpflichtet den Widerruf 
weiterzuleiten und dafür zu sorgen, 
dass die Daten gelöscht werden. 


OLG Karlsruhe 


US-Töchter sind von Ver- 
gabeverfahren nicht aus- 
geschlossen 


Deutsche Behörden dürfen gemäß 
einem rechtskräftigen Beschluss des 
Oberlandesgerichts Karlsruhe (OLG) vom 
07.09.2022 im sofortigen Beschwerde- 
verfahren bei öffentlichen Aufträgen wei- 
terhin auf Tochtergesellschaften von US- 
amerikanischen Cloud-Dienste-Anbietern 
zurückgreifen, wenn diese zusichern die 
Daten in Deutschland zu verarbeiten (Az. 
15 Verg 8/22): Die Anbieterin eines digi- 
talen Entlassmanagements für Patienten 
ist nicht allein deswegen aus einem Ver- 
gabeverfahren zweier kommunaler Kran- 
kenhausgesellschaften auszuschließen, 
weil sie die luxemburgische Tochterge- 
sellschaft eines US-amerikanischen Un- 
ternehmens als Hosting-Dienstleisterin 
einbindet. Das OLG hob damit eine Ent- 
scheidung der Vergabekammer Baden- 
Württemberg vom 13.07.2022 auf (s.u.). 
Amazon, Microsoft oder Google dürfen 
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danach weiter auf Aufträge deutscher Be- 
hörden hoffen. Die Vorinstanz hatte einen 
solchen Anbieter wegen datenschutz- 
rechtlicher Bedenken aus dem Rennen 
geworfen und sich dabei auf das „latente 
Risiko“ eines Zugriffs durch US-Behörden 
gestützt. Die Umsetzung dieser Entschei- 
dung hätte große Cloud-Anbieter wie 
Amazon Web Services (AWS), Microsoft 
oder Google von der Zusammenarbeit mit 
deutschen Behörden kategorisch ausge- 
schlossen. 

Gemäß dem OLG dürfen sich öffentli- 
chen Auftraggeber auf die bindenden Zu- 
sagen der Anbieterin verlassen, dass die 
Daten ausschließlich in Deutschland ver- 
arbeitet und in kein Drittland übermittelt 
werden. Grundsätzlich sei davon auszuge- 
hen, dass ein Bieter seine vertraglichen 
Zusagen erfüllen werde. Erst wenn sich 
aufgrund konkreter Anhaltspunkte Zwei- 
fel daran ergäben, müsse der öffentliche 
Auftraggeber ergänzende Informationen 
einholen und die Erfüllbarkeit des Leis- 
tungsversprechens prüfen. 

Christian Schröder, Anwalt der Kanz- 
lei Orrick, Herrington & Sutcliffe, der 
nicht an dem Verfahren beteiligt war, 
meinte: „Das ist ein Schritt zurück in 
die Normalität”. Alles andere hätte zu 
großer Unsicherheit geführt. Cloud- 
Diensteanbieter aus den USA wie AWS 
und Microsoft stellten wegen der Ent- 
scheidung des Europäischen Gerichts- 
hofs zu Schrems II (DANA 3/2020, 
199 ff.) ihre Geschäftsmodelle um und 
bieten nunmehr über europäische 
Tochtergesellschaften Serverfarmen 
mit Standorten in Deutschland oder 
dem europäischen Ausland an. Ziel ist 
es den strengen Anforderungen des 
europäischen Datenschutzes gerecht 
zu werden. Die Vergabekammer hatte 
sich jedoch zuvor auf den Standpunkt 
gestellt, dass dies nicht ausreicht. Sie 
fürchtete auch in diesen Konstellatio- 
nen, dass amerikanische Behörden auf 
die personenbezogenen Daten europäi- 
scher Bürger zugreifen könnten. Nach 
Einschätzung der Vergabekammer kön- 
ne sich dieses latente Risiko „jederzeit 
realisieren” (Budras, Oberlandesge- 
richt Karlsruhe hegt den Datenschutz 
ein, www.faz.net 07.09.2022; OLG 
Karlsruhe: Auftraggeber dürfen sich 
aufbindende Zusagen verlassen - auch 
zum Datenschutz, www.vergabeblog.de 
08.09.2022). 


VK Baden-Württemberg 


US-Cloud-Tochter von der 
Vergabe ausgeschlossen 


Die Vergabekammer Baden-Württem- 
berg (VK) - eine gerichtsähnliche, beim 
Regierungspräsidium Karlsruhe angesie- 
delte Instanz im Vergaberecht - hat mit 
ihrem nicht rechtskräftigen Beschluss 
vom 13.07.2022 entschieden, dass die 
EU-Tochter einer US-Firma nicht an einem 
Vergabeverfahren teilnehmen darf, weil 
sie Daten in die USA übermitteln könn- 
te; ob sie es tut, sei unerheblich (Az. 1 
Vk 23/22). Das in der EU ansässige Toch- 
terunternehmen eines US-Anbieters für 
Server- und Cloud-Dienstleistungen hatte 
sich an einem Vergabeverfahren beteiligt. 
Obwohl sich die zur Leistungserbringung 
eingesetzten Server innerhalb der EU be- 
fanden, stellte die Vergabekammer einen 
Verstoß gegen die Datenschutz-Grundver- 
ordnung fest. Durch diesen Verstoß sei ein 
entsprechendes Angebot aus dem Verga- 
beverfahren auszuschließen, da es nicht 
den Vergabeunterlagen entspricht. Diesist 
der Fall, da die Anbieterin „keine mit dem 
anwendbaren Datenschutzrecht zu verein- 
barende Leistungserbringung anbietet”. 

Nach der Entscheidung genügt die 
bloße Möglichkeit des Zugriffs auf per- 
sonenbezogene Daten durch das US-Mut- 
terunternehmen, um eine Übermittlung 
in die USA zu unterstellen. Die bloße 
Möglichkeit genüge: „Eine in diesem Zu- 
sammenhang berücksichtigungsfähige 
Offenlegung ist auch dann anzunehmen, 
wenn eine Einstellung personenbezogener 
Daten auf eine Plattform erfolgt, auf die 
von einem Drittland aus zugegriffen wer- 
den kann, und zwar unabhängig davon, 
ob der Zugrifftatsächlich erfolgt.” Auf den 
physischen Standort des Servers komme 
es nicht an. 

Die VK kommt in ihrem Beschluss auch 
zu dem Ergebnis, dass die Verwendung der 
so genannten EU-Standarddatenschutz- 
klauseln im konkreten Fall nicht aus- 
reicht, um einen Verstoß gegen die DSGVO 
auszuschließen. Selbst die Verpflichtung 
gegen etwaige staatliche Anordnungen 
auf Zugriff auf personenbezogene Daten 
durch Anfechtung vorzugehen, „beseitigt 
das latente Risiko eines Zugriffs durch 
ebendiese Stellen nicht“. 

Hätte der Beschluss der VK Bestand 
gehabt (dazu s.o. das OLG Karlsruhe), so 
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wären US-Konzerne selbst dann von Ver- 
gabeverfahren auszuschließen gewesen, 
wenn sie Server zur Verarbeitung perso- 
nenbezogener Daten innerhalb der EU 
durch Tochterunternehmen bereitstellen. 
Letztlich hat diese Frage auch Auswirkun- 
gen auf die Zusammenarbeit privater Un- 
ternehmen mit solchen Diensteanbietern, 
denn die datenschutzrechtliche Beurtei- 
lung hängt nicht davon ab, ob staatliche 
Stellen oder private Unternehmen derlei 
Dienste in Anspruch nehmen. 

Hintergrund des Verfahrens ist die Ent- 
scheidung des Europäischen Gerichts- 
hofs vom 16.07.2020. Darin hatte dieser 
Übermittlungen personenbezogener Da- 
ten auf Basis des EU-US Privacy Shield 
untersagt (Schrems-Il, DANA 3/2020, 
199 ff.). Die EU-Kommission und zustän- 
dige Stellen in den USA arbeiten an ei- 
nem Nachfolgeabkommen (siehe hierzu 
den Artikel von Weichert auf S. 246). Mit 
einem Abschluss und einer anschließen- 
den sogenannten Angemessenheitsent- 
scheidung der EU-Kommission ist nicht 
vor Ende 2022 zu rechnen. 

Die Entscheidung der Vergabekammer 
wurde erfolgreich vor dem Oberlandesge- 
richt Karlsruhe angegriffen (s.o.). Hätte 
sie Bestand gehabt, so wären die größten 
Cloud-Anbieter wie Amazon Web Services 
(AWS), Microsoft und Google trotz neuer 
Modelle mit Rechenzentren in der EU von 
der künftigen Kooperation mit deutschen 
Behörden weitgehend ausgeschlossen 
gewesen. Der baden-württembergische 
Datenschutzbeauftragte Stefan Brink be- 
zeichnet den VK-Beschluss zwar als „sach- 
lich qualifiziert“. Dieser habe eine über 
ein behördliches Vergabeverfahren hin- 
ausweisende Bedeutung. Doch wendete 
er ein, dass das Verfahren Vereinbarungen 
zum Gegenstand hatte, die aus Sicht der 
Vergabekammer noch hinter den Anforde- 
rungen der aktuell einsetzbaren Standard- 
datenschutzklauseln zurückbleiben. Hier 
scheine „nicht durchgängig der Zugriff auf 
die jeweils einschlägige Vertragsklausel 
gelungen zu sein”. Das sei angesichts der 
Komplexität der einzubeziehenden Regu- 
larien auch nicht verwunderlich. 

Brink hält es für „rechtlich zweifelhaft“, 
dass die Kammer das Zugriffsrisiko und 
eine Datenweitergabe an US-Behörden 
gleichsetzte. Dass die DSGVO einen „risi- 
kobasierten Ansatz” zugunsten Verant- 
wortlicher eingeführt habe, werde von 
interessierten Kreisen zwar immer wieder 
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pauschal vorgebracht. Es überzeuge aber 
nicht, dass ein solcher auch noch zu- 
lasten von Daten verarbeitenden Stellen 
„umgedreht werden dürfte“. Die Kammer 
habe übersehen, dass gegen die erwähn- 
ten Zugriffsrisiken wirksame Gegenmittel 
in Gestalt „technisch-organisatorischer 
Maßnahmen” existierten, die letztlich 
jede einschlägige Gefahr ausschließen 
könnten. Dazu gibt es eine Orientierungs- 
hilfe der Aufsichtsbehörde. 

Der Rechtsanwalt Stephan Schmidt von 
der Mainzer Kanzlei TCI hielt die Entschei- 
dungebenfallsfür ‚überzogenundschlecht 
begründet”: Die Juristen der Kammer hät- 
ten nicht berücksichtigt, dass US-Firmen 
und deren Mitarbeiter gegen die DSGVO 
verstießen und so selbst mindestens eine 
Ordnungswidrigkeit begingen, sollten sie 
personenbezogene Informationen einfach 
herausgeben. Der österreichische Aktivist 
Max Schrems, der das EuGH-Grundsatzur- 
teil auslöste, beklagt derweil, dass bislang 
getroffene Vorkehrungen zum Ergänzen 
von Standardvertragsklauseln meist nicht 
ausreichten (https://rewis.io/urteile/ 
urteil/ocw-13-07-2022-1-vk-2322/; Haar, 
Cloud-Dienste: Vergabekammer verbietet 
Angebot von US-Tochterunternehmen, 
wwwr.heise.de 05.08.2022, Kurzlink: 
https://heise.de/-7204620; Krempl, 
Cloud: Datenschützer hält Ausschluss von 
US-Firmentöchtern für zweifelhaft, www. 
heise.de 15.08.2022, Kurzlink: https:// 
heise.de/-7220725). 


VG Berlin 


1. Mai-Demonstrations- 
Videoüberwachung aus 
Schutzgründen zulässig 


Das Verwaltungsgericht Berlin (VG) 
entschied mit Urteilvom 22.08.2022, dass 
die Videoüberwachung von ca. 7.500 De- 
monstrationsteilnehmenden durch die 
Bundespolizei mit schwenkbaren Zoom- 
kameras am S-Bahnhof Grunewald im Zu- 
sammenhang mit den Demonstrationen 
anlässlich des 1. Mai im Jahr 2019 recht- 
mäßig gewesen sei (Az. 1 K 405/20). Es 
habe ein ähnliches Gefahrenpotenzial wie 
beim Loveparade-Unglück in Duisburg 
bestanden. Damit blieb die Klage von Ver- 
anstaltern einer Versammlung erfolglos, 
die am S-Bahnhof im Berliner Villenviertel 
Grunewald startete und endete. 


Ziel der Videoaufzeichnung sei die Si- 
cherheit am beengten Bahnhof gewesen. 
Die Bundespolizei habe - auch mit Blick 
auf Erfahrungen aus dem Vorjahr - recht- 
zeitig erkennen wollen, ob eine Überfül- 
lung des Bahnsteigs und des Personen- 
tunnels drohe. 

Eine dem & 27 Bundespolizeigesetz 
entsprechende Gefahr, die den Kamera- 
einsatz erlaubt, bestand aus Sicht des 
Gerichts angesichts der engen räumlichen 
Situation am S-Bahnhof und der Vielzahl 
von Menschen, die zu erwarten gewesen 
seien. Das Gericht bezog sich, der Argu- 
mentation der Polizei folgend, auf die Er- 
fahrungen bei der Loveparade in Duisburg 
im Jahr 2010, wo es zu einer Katastrophe 
mit 21 Toten und Hunderten Verletzten 
gekommen war, weshalb der Eingriff in 
die Versammlungsfreiheit und das Recht 
auf informationelle Selbstbestimmung 
gerechtfertigt sei. Die Videoüberwachung 
sei auf Bahnsteigen, Treppenabgängen 
und im Empfangsbereich - nicht aber auf 
dem Bahnhofsvorplatz - erfolgt. Essei mit 
mehreren Schildern auf die Kameras hin- 
gewiesen worden. Am 15.05.2019 seien 
die Aufzeichnungen schließlich von der 
Polizei gelöscht worden. 

Frauke Geldher, Sprecherin des Quar- 
tiersmanagement Grunewald kündigte 
an: „Das Urteil des VG Berlin bedeutet 
eine Schwächung des Versammlungs- 
rechts gegen staatliche Eingriffe. Dies 
ist nicht hinnehmbar. Wir beantragen 
deswegen die Zulassung der Berufung 
zum Oberverwaltungsgericht Berlin- 
Brandenburg. Aus dem Verwaltungs- 
vorgang ergibt sich eindeutig, dass die 
Sorge um einen zu vollen Bahnhof nicht 
der Grund für die Videoüberwachung 
war.” So sei zum Ziel der Videoüberwa- 
chung von „Beweissicherung” die Rede 
gewesen; ferner habe die Bundespolizei 
u.a. bei der Berliner Landespolizei ange- 
fragt, ob Bedarf an den Aufzeichnungen 
bestünde - offensichtlich zur weiteren 
Speicherung und Auswertung. „Mit der 
akuten Abwehr von Gefahren durch ei- 
nen überfüllten Bahnhof hat all dies 
nichts zutun. Dass das Gericht dies nicht 
erkennen will, ist nicht nachvollziehbar” 
(Videoüberwachung am Bahnhof aus 
Sicherheitsgründen zulässig, www.lto. 
de 19.09.2022; QM-Grunewald und FIfF, 
Videoüberwachung am 1. Mai 2019 in 
Berlin-Grunewald: Berufung gegen Ur- 
teil des VG Berlin, PE v. 20.09.2022). 
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Buchbesprechungen 


NOMOSKOMMENTAR 


Assion, Simon (Hrsq.) 

TTDSG Telekommunikations- 
Telemedien-Datenschutz-Gesetz 
Handkommentar 

Nomos Verlag, Baden-Baden, 1. Aufl. 
2022, ISBN 978-3-8487-7054-0, 554 5, 
109,00 € 


(tw) Das TTDSG ist seit dem 
01.12.2021 in Kraft. Gemäß der Tra- 
dition im allgemeinen Datenschutz- 
recht ist dazu zeitnah schon viel Lite- 
ratur erschienen, die das neue Gesetz 
kommentiert. Inzwischen gibt es drei 
selbstständige Kommentare dazu - der 
von Assion herausgegebene ist ei- 
ner - sowie weitere, die das TTDSG in 
Kombination mit der DSGVO und dem 
BDSG kommentieren. Auch Aufsätze 
gibt es schon eine ansehnliche Menge. 
Und dies ist gut so, da die behandel- 
te Materie nicht gerade anwendungs- 
freundlich ist: „Das TTDSG war trotz 
langer Vorbereitungszeit nur wenig 
ausgereift, als es vom Bundestag ver- 
abschiedet wurde, und manche Vor- 
schriften ... müssen in der Praxis erst 
noch ankommen. Andere ... sind im 
Wortlaut veraltet und auf moderne Te- 
lekommunikationstechnologien kaum 
noch praktikabel anwendbar. Eine 
große Herausforderung für unsere Au- 
torinnen und Autoren!“ Die Feststel- 
lung der Herausforderung durch den 
Herausgeber, der sich der Rezensent 
anschließt, wurde von den 14 Auto- 
rinnen und Autoren - weitestgehend 
aus der Anwaltschaft - beherzigt. Sie 
schaffen es, die sperrige Materie so- 
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weit zu entsperren, dass das Gesetz an- 
wendbar wird. Das Werk geht offenen 
Fragen nicht aus dem Weg und gibt 
eigene Antworten - unter Darstellung 
möglicher Gegenpositionen. Es geht 
zumindest dogmatisch in die verfas- 
sungsrechtliche Tiefe und beschreibt 
die vielen Querbezüge zu anderen Ge- 
setzen, allen voran die ePrivacy-Richt- 
linie und die DSGVO sowie viele wei- 
tere europäische und nationale sowie 
auch bundeslandspezifische Normen. 
Es zeigt die wechselvolle Geschichte 
der einzelnen Regelungen auf - vom 
Telegraphengeheimnis von 1892, vor 
allem seit den 1990er Jahren mit Tele- 
kommunikationsdienstunternehmen- 
Datenschutzverordnung, Telekommu- 
nikations-Datenschutzverordnung, 
Telekommunikationsgesetz (TKG), 
Teledienstedatenschutzgesetz und 
Telemediengesetz (TMG) bis nun zum 
TTDSG, das zu einem noch nicht abseh- 
baren Zeitpunkt zumindest teilweise 
von der seit Jahren angekündigten 
und politisch streitigen europäischen 
ePrivacy-Verordnung abgelöst werden 
wird. Eine Stärke der Kommentierun- 
gen besteht darin, dass auf die Erfah- 
rungen mit den Vorgängergesetzen zu- 
rückgegriffen wird, was sich anbietet, 
zumal die Hauptregelungen des TTDSG 
die Datenschutznormen des früheren 
TKG und TMG sind, die für Netzanbie- 
ter und Telemedienanbieter galten und 
auch weiterhin - bei allen Überschnei- 
dungen - in getrennten Abschnitten 
des TTDSG zu betrachten sind. 

Die vielen Verweise auf - auch die 
aktuelle - Literatur geben denjenigen, 
die es noch genauer wissen wollen, 
Ansatzpunkte für Vertiefungen, wo- 
bei diese dank der Darstellung auch 
fremder Positionen oft gar nicht nötig 
ist. Die vertretenen Standpunkte sind 
durchgängig vertretbar, auch wenn 
man sich nicht immer diesen anschlie- 
ßen mag, etwa wenn die Anwendbar- 
keit des Fernmeldegeheimnisses durch 
Arbeitgeber bei erlaubter Privatnut- 
zung am Arbeitsplatz behauptet wird. 
Der Kommentar ist durchgängig der 
juristischen Dogmatik verhaftet; die 


technischen oft sehr komplexen Hin- 
tergründe werden allenfalls angeris- 
sen. Angesichts der technischen Viel- 
falt im Bereich der digitalen Kommu- 
nikation bleiben so praktische Fragen 
manchmal offen, so dass weitere Quel- 
len herangezogen werden müssen. 
Technische Vorkenntnisse sind bei der 
Kommentarnutzung oft nötig. 

Wer also mit dem TTDSG viel zu tun 
hat, dem sei dieser Kommentar emp- 
fohlen. Er schafft etwas Ordnung in die 
bestehende regulative Unordnung. Es 
bleibt aber weiterhin zu hoffen, dass 
das TTDSG bald durch eine einheitliche 
europäische Regelung, die ePrivacy- 
Verordnung, ersetzt wird, die dann auf 
die DSGVO abgestimmt ist. Es werden 
aber auch dann Restbestände des ak- 
tuellen TTDSG übrigbleiben, die mögli- 
cherweise überleben - etwa die zu den 
Rechten der Erben (8 4) oder zu den 
Personal Informations Managements 
Systems (PIMS, 8 26) oder die behörd- 
lichen Zugriffsnormen auf Verkehrs- 
und Bestandsdaten (88 21 ff.). 


Datenschutz 


Haverkamp, Josef 

Datenschutz - Grundlagen, 
Empfehlungen und Arbeitshilfen 
für Betriebs- und Personalräte 
Bund Verlag, 3. umfassend überar- 
beitete und aktualisierte Aufl. 2022, 
Frankfurt am Main; 420 S., 32,00 €. 
ISBN 978-3-7663-7072-3. 


(hdn) Autor Josef Haverkamp wird 


in diesem Buch als Fachjournalist für 
IT-Fragen mit den Schwerpunkten Da- 
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tenschutz und Digitalisierung, Zerti- 
fizierter Datenschutzbeauftragter und 
Referent bei Datenschutz- und IT-Se- 
minaren vorgestellt. 

Schon das erste Durchblättern macht 
deutlich, dass die Versprechen, die der 
Titel liefert, in dem kompakten Buch 
aus dem für diese Belange spezialisier- 
ten Bund-Verlag stringent eingehalten 
werden. Der Inhalt wendet sich an die 
Menschen, die in verschiedenen Mitar- 
beitervertretungen ihrer Betriebsrat- 
und Personalratstätigkeit nachgehen 
und die die bislang eher ungeklärten 
datenschutzrechtlichen Verpflichtun- 
gen berücksichtigen müssen. 

Dabei hat Haverkamp nicht nur die 
aktuelle Gesetzeslage (Novellierung 
des Betriebsverfassungsgesetzes und 
des Bundespersonalvertretungsgeset- 
zes von 2021) eingepflegt, sondern 
geht auch umfassend und intensiv auf 
die Anforderungen von DSGVO und 
BDSG, BetrVG und BPerVG (einschl. 
Ländergesetze) ein. Die angewandte 
Semantik und grafische Ausgestaltung 
helfen Leserin und Leser bei der Erfas- 
sung der nicht immer einfachen daten- 
schutzrechtlichen Inhalte. Der Text ist 
in der Tat sehr verständlich verfasst, 
eindeutige Icons helfen beim Auffin- 
den von Checklisten und gute Tabellen 
stellen verschiedene Anforderungen 
zum Beispiel bei den PVerVG der Län- 
der gegenüber. 

Die Textpassagen in den Kapiteln 
beschreiben die Gesetzeslage zum Teil 
sehr umfassend und schließen mit 
Hinweisen auf Rechtsgrundlagen und 
Literatur ab. Die überaus sparsame 
Verwendung juristischer Fachtermini 
dürfte bei der Zielgruppe zudem ho- 
hen Anklang finden. Hervorhebungen 
machen auf wichtige Aspekte und Be- 
sonderheiten aufmerksam. Zur prakti- 
schen Anwendung werden Muster zum 
Beispiel für Einwilligungen oder zum 
Widerruf einer Einwilligung angebo- 
ten. 

Der Bleistift am Rand der Texte führt 
zu Checklisten, die teilweise sehr um- 
fassend ausfallen. Die Bestandsauf- 
nahme zum Datenschutz im Büro der 
Interessenvertretung beispielsweise 
umfasst mehr als sechs Buchseiten. 
Insgesamt gibt es 23 dieser Check- 
listen, die meisten wurden für die 
Einhaltung technischer Schutzmaß- 
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nahmen erstellt. Gleich ein ganzes 
Kapitel beschreibt den „Weg zum Da- 
tenschutz der Interessenvertretung in 
fünf Schritten”. Eine besondere Rolle 
kommt dabei dem Sonderbeauftragten 
für den Datenschutz zu, der in der In- 
teressenvertretung tätig werden muss. 

Eine weitere Besonderheit in diesem 
Buch stellt die Beschreibung der Arbeit 
von BeDaX dar, einem wissenschaftlich 
fundierten Instrument zur Bewertung 
des Beschäftigtendatenschutzes in Be- 
trieb, Unternehmen oder Verwaltung. 

Das Buch von Josef Haverkamp sollte 
in jedem Büro einer Interessenvertre- 
tung verfügbar sein. 


NOMOSKOMMENTAR 


Sydow | Marsch Deng | 


GVO | BDSG 


dr 


Sydow, Gernot/Marsch, Nikolaus (Hrsg.) 
DS-GVO | BDSG 

Nomos Verlag Baden-Baden, 

3. Auflage 2022, 2559., 

ISBN 978-3-8487-7290-2, 189,00 € 


(me) Der Handkommentar erscheint 
- verdientermaßen - in nunmehr 
3. Auflage und wird in Deutschland 
(Nomos Verlagsgesellschaft), der 
Schweiz (Dike Verlag) und Österreich 
(Manz’sche Verlags- und Universitäts- 
buchhandlung) verlegt. 

Die Veröffentlichung der Kommen- 
tierung von DSGVO und BDSG in ei- 
nem Band ist nicht neu. Es gibt an- 
dere Kommentare, die dieses Konzept 
ebenfalls verwenden. In diesem Fall 
ist es besonders gut gelungen: Lobend 
zu erwähnen ist insbesondere die Ein- 
leitung von Gernot Sydow, in der sehr 
schön dargestellt wird, wie sich das Da- 
tenschutzrecht in einem Mehrebenen- 
system entfaltet und wie der jeweilige 
Regelungsgehalt von DSGVO, TTDSG 
und BDSG vor dem Hintergrund der da- 
tenschutzgrundrechtlichen Gewähr- 


leistung durch Art. 8 EU-Grundrechte- 
Charta und Art. 16 AEUV zu verstehen 
ist. Die Ausführungen gehen über das 
üblicherweise von einer Einführung zu 
Erwartende hinaus. Auf verständliche 
und dogmatisch überzeugende Wei- 
se werden die Regelungsspielräume 
der Mitgliedsstaaten dargestellt und 
erläutert. Im Weiteren von hohem In- 
teresse sind die Bewertungen neuer 
Herausforderungen wie beispielsweise 
der sog. Künstlichen Intelligenz (KT), 
der Blockchain-Technik sowie der Aus- 
blick auf ausländische (=außereuropä- 
ische) Rechtsordnungen wie den kali- 
fornischen Consumer Privacy Act, das 
brasilianische Datenschutzgesetz und 
das japanische Reqularium. Auch ei- 
nem Lehrbuch zum Datenschutzrecht 
würde es gut zu Gesicht stehen eine 
Einleitung dieser Qualität zu enthal- 
ten. 

Besonders gut sind die Kommentie- 
rungen von Ingold zu Art. 28 DSGVO 
(Auftragsverarbeitung) und von Tow- 
figh und Ulrich zu Art. 46 ff. DSGVO 
(Datenübermittlung an Drittländer) 
gelungen, die dem praktischen An- 
wender das nötige Rüstzeug liefern. 
In diesem Zusammenhang wird das 
EuGH-Urteil „Schrems-II” dargestellt. 

Mit Beifall zu bedenken sind die 
Darstellungen der insgesamt 30 Au- 
toren des Handkommentars zu aktu- 
ellen datenschutzrechtlichen The- 
men wie beispielsweise dem Beschäf- 
tigtendatenschutz in Art. 26 BDSG 
(kommentiert von Tiedemann), dem 
Auskunftsrecht gem. 88 57, 34 BDSG 
(kommentiert von Bienemann) und 
zur Videoüberwachung öffentlicher 
Räume gem. $ 4 BDSG (kommentiert 
von Marsch). Das im Vorwort gesetzte 
Ziel der Erarbeitung von Lösungen zu 
Anwendungsfragen des materiellen 
Datenschutzrechts wird erreicht: Im 
Bücherregal des in der Praxis mit Da- 
tenschutzfragen Beschäftigten sollte 
dieser Handkommentar nicht fehlen. 
Zu bemängeln wäre die Qualität des 
Papiers, die etwas zu dünn geraten 
scheint. Vielleicht ist bei dieser - nur 
das äußere Erscheinungsbild des Wer- 
kes betreffenden - Kritik Nachbesse- 
rung möglich. 
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Freiwillige Gegendarstellung 


Im letzten Heft (DANA 3/2022) hielten wir folgenden Witz für angebracht: 


Ein deutscher 
Innenminister *) setzt sich 
nach 1982 ernsthaft für 
Datenschutz und 
andere Grundrechte ein. 


Friedrich ie. Wolfgang 

Zimmermann Schäuble 

1982-1989 EN 1989-1991 
2005-2009 


Rudolf j Manfred 
Seiters Kanther 


1991-1993 1993-1993 


Otto 
Schily Thomas 
1998-2005 de Maiziere 


2009-2011 
2013-2013 


Hans-Peter i i Horst 
Friedrich ' Seehofer 


2011-2013 2018-2021 


oletschek.at, CC BY-SA 3.0 


*) Dieser Witz ist bereits vollständig gegendert. 


Alle Bilder wurden von Wikimedia Commons entnommen und stehen unter einer Creativ-Commons-Lizenz. 


Mit der Fußnote wollten wir klarstellen, dass die aktuelle Innenministerin Faeser in diesen Witz nicht mit einbezogen werden 
sollte, weil sie erst ein gutes halbes Jahr im Amt war und wir (auch vor dem Hintergrund des aktuellen Koalitionsvertrages) die 
Hoffnung hatten, dass sie sich in dem Punkt (Einsatz für Datenschutz und andere Grundrechte) von ihren Vorgängern unter- 
scheiden würde. 


Für diese Naivität unsererseits (die Redakteure der DANA 3/2022) wollen wir uns hiermit bei unseren Lesern aufrichtig ent- 
schuldigen. 
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www.bund-verlag.de 


Beschäftigten- 
datenschutz 


Basiskommentar 


Wedde 
Beschäftigtendatenschutz 


Basiskommentar zu 
EU-DSGVO und BDSG 
2022. 678 Seiten, kartoniert 
€54,- 

ISBN 978-3-7663-6867-6 


Einfach online bestellen: 


Bewerbung, Krankheit, Gehalt 
Sensible Daten! 


Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) enthält zum 
Beschäftigtendatenschutz keine speziellen Vorgaben. Mit der »Öffnungsklausel« 
in Art. 88 DSGVO überlässt sie die Regelungsbefugnis zu diesem wichtigen 
Thema den Mitgliedstaaten. Der deutsche Gesetzgeber hat die so geschaffene 
Möglichkeit in 8 26 Bundesdatenschutzgesetz (BDSG) umgesetzt. In dieser 
Vorschrift finden sich allgemeine Vorgaben zur Erforderlichkeit der Verarbeitung 
von Beschäftigtendaten, zur Zulässigkeit individueller Einwilligungen und zur 
Regelung einschlägiger Fragen in Tarifverträgen, in Betriebs- oder 
Dienstvereinbarungen. 


In kompakter Form erläutert der Basiskommentar die für den Beschäftigten- 
datenschutz relevanten Vorschriften der EU-DSGVO und des BDSG. Er hat dabei 
die aktuelle Rechtsprechung im Blick. Beschäftigte erhalten leicht verständliche 
Hinweise zu datenschutzrechtlichen Einzelfragen. Betriebs- und Personalräte 
finden zahlreiche Praxistipps, die sie bei ihrer täglichen Arbeit im Betrieb 

oder in der Dienststelle nutzen können. Datenschutzbeauftragten ermöglicht die 
Kommentierung den einfachen Einstieg in das Thema und die schnelle 
Beantwortung anstehender Fragen. 


Vorteile auf einen Blick: 


> Konzentration auf den Beschäftigtendatenschutz 
> Praktische Hinweise und Regelungsbeispiele für Betriebs- und Personalräte 
> Handlich, überschaubar, gut verständlich 


1. Einsteigen auf bund-shop.de/6867 2. Daten eingeben 3. Absenden 


oder Coupon ausfüllen und abschicken: 


Expl. Best.-Nr. Autor / Kurztitel 


978-3-7663- Preis / € 


Wedde 
6867-6 | Beschäftigtendatenschutz 54,- 
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